#11 RGPD : Le registre des activités de traitement

Le registre des activités de traitement

En matière de RGPD, les termes de mise en conformité, compliance, principe de responsabilité, accountability… sont souvent évoqués.

Mais concrètement, comment procéder ou évaluer son niveau de conformité au RGPD ?

L’un des principaux outils à mettre en œuvre prioritairement est le registre des activités de traitement[1].

Définition – Utilité

Il s’agit d’un registre recensant les différents traitements mis en œuvre tant par un responsable du traitement que par un sous-traitant (pour les traitements qu’il réalise pour le compte du responsable du traitement)[2].

En somme, le registre des activités de traitement permet de cartographier les traitements puis d’auditer et vérifier leur conformité au RGPD.

Principe

Tout responsable du traitement ou sous-traitant y est tenu.

Le registre doit être écrit, au format électronique ou non.

Contenu

Les informations devant figurer au registre sont énumérées par le RGPD. Elles diffèrent selon qu’il s’agit du registre des activités de traitement d’un responsable du traitement ou d’un sous-traitant.

Pour un responsable du traitement : il s’agit notamment des nom et coordonnées du responsable du traitement, des finalités du traitement, des catégories de personnes concernées, de données à caractère personnel et de destinataires, de leur durée de conservation…

Pour un sous-traitant : il s’agit notamment des nom et coordonnées du ou des sous-traitants et de chaque responsable du traitement pour le compte duquel le sous-traitant agit, des catégories de traitements effectués pour le compte de chaque responsable du traitement…

Il s’agit d’un contenu « minimum » ; il est tout à fait possible de l’enrichir par des mentions supplémentaires (par exemple, des informations concernant les violations de données à caractère personnel).

Publicité

Le registre n’a pas à être communiqué aux personnes concernées.

Il doit en revanche être remis à l’autorité de contrôle – type CNIL – sur demande.

Exception

Sont dispensées de la tenue d’un tel registre une entreprise ou à une organisation comptant moins de 250 employés.

Exceptions à l’exception

La tenue d’un registre redevient toutefois obligatoire lorsque :

• le traitement effectué est susceptible de comporter un risque pour les droits et des libertés des personnes concernées ;
• le traitement n’est pas occasionnel ;
• le traitement porte notamment sur les données sensibles[3] ou sur des données à caractère personnel relatives à des condamnations pénales et à des infractions.

En pratique, la tenue d’un registre des activités de traitement est presque toujours obligatoire.

Sanctions

L’absence de registre des activités de traitement est évidemment une violation du RGPD et, en conséquence, sanctionnable par la CNIL.

Elle est également sanctionnée pénalement (5 ans d’emprisonnement et 300.000 € d’amende)[4].

Alors, avant de traiter des données à caractère personnel, anticipez et consultez !

Mon Cabinet d’avocat en droit des affaires situé à proximité de Laval, en Mayenne, est à votre disposition pour répondre à toutes vos questions !

[1] Article 30 du RGPD (Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE) ; article 57 de la LIL (Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés)

[2] Sur ces notions, cf notre note #9 RGPD : Les différents acteurs d’un traitement de données

[3] Sur cette notion, cf notre note #7 RGPD : Données dites sensibles

[4] Article 226-17 du code pénal

Voir aussi :

#10 RGPD : Le saviez-vous ? – Le cycle de vie de la donnée

#9 RGPD : Le saviez-vous ? – Les différents acteurs d’un traitement de données 

#8 RGPD : Le saviez-vous ? – Qu’est-ce qu’un traitement ?

#7 RGPD : Le saviez-vous ? – Données dites sensibles

#6 RGPD : Le saviez-vous ? – Quelle base légale pour un traitement ?

#5 RGPD : Le saviez-vous ? – To transfer ou not to transfer ?

#4 RGPD : Le saviez-vous ? – 2023, une année à fêter !

#3 RGPD : Le saviez-vous ? – Thématiques prioritaires de contrôle de la CNIL  

#2 RGPD : Le saviez-vous ? – Donnée à caractère personnel

#1 RGPD : Le saviez-vous ? – Genèse de la LIL

AFCDP (RGPD)
RGPD et Syndicat : consultation de la CNIL
Open data des décisions de justice

Photo de Daniel Brady sur Unsplash