Obligation :
L’entreprise agissant en tant que responsable du traitement ou sous-traitant a l’obligation de tenir un registre des activités de traitement. En fonction de sa qualification au sens du RGPD, si l’entreprise agit en tant que responsable du traitement et sous-traitant, elle devra tenir deux registres des activités de traitement.
Article 30 du RGPD
A retenir :
Étapes préalables indispensables :
- Identifier les traitements de données à caractère personnel effectués par l’entreprise (cartographie des traitements)
- Identifier la qualification au sens du RGPD de l’entreprise pour chaque finalité de traitement (Responsable du traitement – data controller, Sous-traitant – data processor ou Responsables conjoints du traitement – joint controllers).
Contenu du registre des activités de traitement lorsque l’entreprise agit en tant que Responsable du traitement :
- le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement ;
- le cas échéant, le nom et les coordonnées du représentant du responsable du traitement (lorsque le responsable de traitement est situé en dehors de l’Union européenne cf. article 27 du RGPD) ;
- le cas échéant, le nom et les coordonnées du délégué à la protection des données ;
- les finalités du traitement ;
- les catégories de personnes concernées (ex : salariés, candidats) ;
- les catégories de données à caractère personnel (ex : données d’identité et d’identification) ;
- les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales ;
- le cas échéant :
- les transferts de données à caractère personnel en dehors de l’Union européenne,
- l’identification de ce(s) pays tiers
- le cas échéant, les garanties appropriées mises en place (ex : clauses contractuelles types de la Commission européenne) ;
- les durées de conservation des différentes catégories de données ;
- une description générale des mesures de sécurité́ techniques et organisationnelles (notamment celles visées à l’article 32 du RGPD).
Contenu du registre des activités de traitement lorsque l’entreprise agit en tant que Sous-traitant :
- le nom et les coordonnées du ou des sous-traitants ;
- le nom et les coordonnées de chaque responsable du traitement pour le compte duquel le sous-traitant agit;
- le cas échéant, les noms et les coordonnées du représentant du responsable du traitement ou du sous-traitant (lorsque le responsable de traitement ou le sous-traitant est situé en dehors de l’Union européenne cf. article 27 du RGPD) ;
- le cas échéant, le nom et les coordonnées du délégué à la protection des données ;
- les catégories de traitements effectués pour le compte de chaque responsable du traitement ;
- le cas échéant :
- les transferts de données à caractère personnel en dehors de l’Union européenne,
- l’identification de ce(s) pays tiers
- le cas échéant, les garanties appropriées mises en place (ex : clauses contractuelles types de la Commission européenne) ;
- une description générale des mesures de sécurité́ techniques et organisationnelles (notamment celles visées à l’article 32 du RGPD).
Nos conseils :
- N’indiquer que les informations strictement requises par le RGPD.
- Le registre doit refléter ce qui est réellement et effectivement mis en œuvre dans l’entreprise
- Utiliser un format adapté à l’entreprise (format Excel, Word ou logiciel propre à l’entreprise).
- Utiliser un format permettant une exportation ou impression rapide en cas de demande de l’autorité de contrôle.
- Limiter l’accès aux registres aux seules personnes ayant besoin d’y avoir accès dans le cadre de leurs fonctions.
Je veux faire rédiger/revoir un registre des activités de traitement, que dois-je faire concrètement ?
- Répondez au questionnaire en ligne ici ;
- Nous vous mettons en relation avec un avocat spécialisé et expérimenté qui rédigera votre registre des activités de traitement et/ou répondra à toutes vos questions.
