En tant que responsable du traitement, vous devez tenir un registre des activités de traitement effectuées sous votre responsabilité. De même, chacun de vos sous-traitants doit tenir un registre de toutes les catégories d’activités de traitement effectuées pour votre compte.
Néanmoins, cette obligation ne s’applique pas si les conditions cumulatives suivantes sont remplies :
- l’entreprise ou l’organisation concernée compte moins de 250 employés,
- le traitement qu'elle effectue n’est pas susceptible de comporter un risque pour les droits et des libertés des personnes concernées,
- le traitement qu'elle effectue est occasionnel,
- le traitement qu'elle effectue ne porte pas sur des données dites « sensibles » visées à l'article 9, paragraphe 1, du RGPD ou sur des données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article 10 du RGPD.
La tenue d'un registre des traitements vous permet de mesurer concrètement l’impact du règlement européen sur la protection des données sur votre activité. Elle est donc en toute état de cause recommandée dans votre démarche de responsabilisation vis-à-vis du RGPD.
Qu’est-ce qui doit figurer dans le registre des activités de traitement du responsable du traitement?
- le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données;
- les finalités du traitement;
- une description des catégories de personnes concernées et des catégories de données à caractère personnel;
- les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales;
- le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l'article 49, paragraphe 1, deuxième alinéa, du RGPD, les documents attestant de l'existence de garanties appropriées;
- dans la mesure du possible, les délais prévus pour l'effacement des différentes catégories de données;
- dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l'article 32, paragraphe 1 du RGPD.
Qu’est-ce qui doit figurer dans le registre des catégories d’activités de traitement du sous-traitant?
- le nom et les coordonnées du ou des sous-traitants et de chaque responsable du traitement pour le compte duquel le sous-traitant agit ainsi que, le cas échéant, les noms et les coordonnées du représentant du responsable du traitement ou du sous-traitant et celles du délégué à la protection des données;
- les catégories de traitements effectués pour le compte de chaque responsable du traitement;
- le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l'article 49, paragraphe 1, deuxième alinéa, du RGPD les documents attestant de l'existence de garanties appropriées;
- dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l'article 32, paragraphe 1 du RGPD.
Sous quelle forme doit se présenter le registre d’activités de traitement ?
Le RGPD ne définit pas de modèle ou de format unique de registre d’activités de traitement. Chaque responsable du traitement ou sous-traitant peut donc utiliser la forme qu’il souhaite, pourvu que figurent les informations visées à l’article 30 du RGPD.
Par ailleurs, l’autorité de protection des données française, tout comme celle de la Belgique ou celle de Bavière mettent également à disposition un modèle pour le registre des activités de traitement.
La CNPD tient cependant à vous rendre attentif au fait qu’aucun de ces modèles ne couvre l’ensemble des situations envisageables. De ce fait, il est possible, voire même recommandé de modifier l’un de ces modèles ou d’en créer un nouveau afin de tenir compte du contexte spécifique et des particularités de votre organisation.