📕 L’article 30 du RGPD impose à chaque responsable du traitement de tenir un registre des traitements effectués sous leur responsabilité. Le registre doit comporter toutes les informations suivantes (dont certaines se recoupent avec les informations à communiquer aux personnes) :
- Le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données (également inclus dans l’obligation d’information des articles 13 et 14 du RGPD) .
- Les finalités du traitement (également inclus dans l’obligation d’information des articles 13 et 14 du RGPD) .
- Une description des catégories de personnes concernées et des catégories de données à caractère personnel .
- Les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales (également inclus dans l’obligation d’information des articles 13 et 14 du RGPD).
- Le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l'article 49, paragraphe 1, deuxième alinéa, les documents attestant de l'existence de garanties appropriées (également inclus dans l’obligation d’information des articles 13 et 14 du RGPD).
- Les délais prévus pour l'effacement des différentes catégories de données (également inclus dans l’obligation d’information des articles 13 et 14 du RGPD).
- Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l'article 32 (par exemple la pseudonymisation et le chiffrement des données à caractère personnel ; les moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constante des systèmes et des services de traitement ; les moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ; la procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement).
Chaque sous-traitant doit également tenir un registre de toutes les catégories d'activités de traitement effectuées pour le compte du responsable du traitement, comprenant :
- Le nom et les coordonnées du sous-traitant et de chaque responsable du traitement pour le compte duquel le sous-traitant agit ainsi que les coordonnées du DPO.
- Les catégories de traitements effectués pour le compte de chaque responsable du traitement .
- Le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l'article 49, paragraphe 1, deuxième alinéa, les documents attestant de l'existence de garanties appropriées.
- Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles.
Il existe des exceptions quant à l’obligation de tenue de ces registres en particulier dans le cas d’une entreprise de moins de 250 salariés, sauf si les traitements présentent un risque et ne sont pas occasionnels ou encore s’ils incluent des catégories particulières de données personnelles (données sensibles).