Registre des traitements

📕 L’article 30 du RGPD impose à chaque responsable du traitement de tenir un registre des traitements effectués sous leur responsabilité. Le registre doit comporter toutes les informations suivantes (dont certaines se recoupent avec les informations à communiquer aux personnes) :

  • Le nom et les coordonnĂ©es du responsable du traitement et, le cas Ă©chĂ©ant, du responsable conjoint du traitement, du reprĂ©sentant du responsable du traitement et du dĂ©lĂ©guĂ© Ă  la protection des donnĂ©es (Ă©galement inclus dans l’obligation d’information des articles 13 et 14 du RGPD) .
  • Les finalitĂ©s du traitement (Ă©galement inclus dans l’obligation d’information des articles 13 et 14 du RGPD) .
  • Une description des catĂ©gories de personnes concernĂ©es et des catĂ©gories de donnĂ©es Ă  caractère personnel .
  • Les catĂ©gories de destinataires auxquels les donnĂ©es Ă  caractère personnel ont Ă©tĂ© ou seront communiquĂ©es, y compris les destinataires dans des pays tiers ou des organisations internationales (Ă©galement inclus dans l’obligation d’information des articles 13 et 14 du RGPD).
  • Le cas Ă©chĂ©ant, les transferts de donnĂ©es Ă  caractère personnel vers un pays tiers ou Ă  une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visĂ©s Ă  l'article 49, paragraphe 1, deuxième alinĂ©a, les documents attestant de l'existence de garanties appropriĂ©es (Ă©galement inclus dans l’obligation d’information des articles 13 et 14 du RGPD).
  • Les dĂ©lais prĂ©vus pour l'effacement des diffĂ©rentes catĂ©gories de donnĂ©es (Ă©galement inclus dans l’obligation d’information des articles 13 et 14 du RGPD).
  • Dans la mesure du possible, une description gĂ©nĂ©rale des mesures de sĂ©curitĂ© techniques et organisationnelles visĂ©es Ă  l'article 32 (par exemple la pseudonymisation et le chiffrement des donnĂ©es Ă  caractère personnel ; les moyens permettant de garantir la confidentialitĂ©, l'intĂ©gritĂ©, la disponibilitĂ© et la rĂ©silience constante des systèmes et des services de traitement ; les moyens permettant de rĂ©tablir la disponibilitĂ© des donnĂ©es Ă  caractère personnel et l'accès Ă  celles-ci dans des dĂ©lais appropriĂ©s en cas d'incident physique ou technique ; la procĂ©dure visant Ă  tester, Ă  analyser et Ă  Ă©valuer rĂ©gulièrement l'efficacitĂ© des mesures techniques et organisationnelles pour assurer la sĂ©curitĂ© du traitement).

Chaque sous-traitant doit également tenir un registre de toutes les catégories d'activités de traitement effectuées pour le compte du responsable du traitement, comprenant :

  • Le nom et les coordonnĂ©es du sous-traitant et de chaque responsable du traitement pour le compte duquel le sous-traitant agit ainsi que les coordonnĂ©es du DPO.
  • Les catĂ©gories de traitements effectuĂ©s pour le compte de chaque responsable du traitement .
  • Le cas Ă©chĂ©ant, les transferts de donnĂ©es Ă  caractère personnel vers un pays tiers ou Ă  une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visĂ©s Ă  l'article 49, paragraphe 1, deuxième alinĂ©a, les documents attestant de l'existence de garanties appropriĂ©es.
  • Dans la mesure du possible, une description gĂ©nĂ©rale des mesures de sĂ©curitĂ© techniques et organisationnelles.

Il existe des exceptions quant à l’obligation de tenue de ces registres en particulier dans le cas d’une entreprise de moins de 250 salariés, sauf si les traitements présentent un risque et ne sont pas occasionnels ou encore s’ils incluent des catégories particulières de données personnelles (données sensibles).