La réglement général sur la protection des données (RGPD) prévoit que les responsables de traitement et les sous-traitants doivent tenir un registre de leurs activités de traitement (article 30 du RGPD).
Toutefois, leurs obligations diffèrent en fonction de leurs activités et le contenu du registre est différent selon qu’ils agissent en tant que responsable du traitement ou sous-traitant.
1. Quand faut-il tenir un registre des activités de traitement de données ?

Les responsables du traitement ou les sous-traitants doivent tenir un registre de leurs activités de traitement lorsqu’ils remplissent l’une des conditions suivantes:

  •  Ils emploient plus de 250 employés
  •  Ils mettent oeuvre des activités de traitement susceptibles de présenter un risque élevé pour les droits et les libertés des individus
  •  Leurs activités de traitement ne sont pas occasionnelles
  •  Leurs activités de traitement consistent à traiter des données sensibles (par exemple, des données sur la santé, etc.) ou des données relatives aux condamnations pénales

Si l’une des conditions susmentionnées est remplie, la personne qui traite les données à caractère personnel doit tenir un registre de ses activités de traitement. Toutefois, à l’exception de la première condition qui implique un recensement de toutes les activités de traitement, le fait de remplir l’une des autres conditions n’impliquent que de tenir un registre pour les activités de traitement remplissant ces conditions.

2. Quelles informations doivent figurer dans le registre ?

Le contenu du registre varie selon qu’il concerne les activités d’un responsable de traitement ou d’un sous-traitant.

2.1. Contentu du registre des responsables de traitement

Lorsque le responsable de traitement doit tenir un registre des activités de traitement, ce dernier doit contenir les informations suivantes:

  •    Nom et coordonnées du responsable de traitement, du responsable de traitement conjoint, du représentant du responsable de traitement et du responsable de la protection des données
  •    Les objectifs du traitement
  •    Description des catégories de personnes concernées et des catégories de données à caractère personnel
  •    Les catégories de destinataires des données à caractère personnel
  •   Transfert de données à caractère personnel vers un pays tiers ou organisation internationale et documentation des garanties appropriées
  •    Durée de conservation de chaque catégorie de données
  •   Description générale des mesures de sécurité mises en œuvre

La CNIL a proposé un exemple de registre sur son site internet et a publié le sien.

2.2. Contenu du registre des sous-traitants

Dès lors qu’il remplissent l’une des conditions susmentionnées, les sous-traitants doivent également tenir un registre des activités réalisées pour le compte du responsable du traitement.

Le registre doit contenir les renseignements suivants:

  •  Coordonnées du sous-traitant et de chaque responsable de traitement, de leur représentant et de l’agent de protection des données respectifs
  •   Catégories de traitement effectuées pour le compte de chaque responsable de traitement
  • Description des mesures de sécurité mises en œuvre
Remarque:

Il est tout à fait possible qu’un sous-traitant doivent tenir un registre de sous-traitant pour les traitements de données qu’il met en oeuvre pour le compte de tiers et un registre de responsable de traitement pour les traitements de données qu’il met en oeuvre pour son propre compte.

Partage

Registre des traitements de données personnelles
Étiqueté avec :            

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *