RGPD : le registre des activités de traitement de données personnelles

Données personnelles 7316 Vues

Le Règlement Général sur la Protection des Données, dit RGPD, a été voté en 2016 et est entré en vigueur le 25 mai 2018. De ce règlement découle un certain nombre d'obligations qui pèsent sur le responsable de traitement, notamment la tenue d'un registre des activités de traitement de données à caractère personnel.
RGPD : le registre des activités de traitement de données personnelles

Le Règlement Général sur la Protection des Données (RGPD), est entré en vigueur le 25 mai 2018. Ce règlement, dans son article 30 prévoit la tenue d’un registre des activités de traitement.

La tenue de ce registre nécessite la mise en œuvre de moyens financiers et humains conséquents. En effet, le registre détermine la finalité et les moyens du traitement des données à caractère personnel. 

L’objectif pour l'entreprise est de sa volonté de protéger les internautes et de ne pas user à mauvais escient des données à caractère personnel. On doit pouvoir vérifier, entre autres, que la durée de conservation des données ne dépasse pas celle nécessaire à la réalisation de la finalité du traitement. Il permet de refléter la réalité sur le traitement des données opéré par les entreprises.

Les entreprises doivent alors, depuis le 25 mai 2018, se mettre en conformité avec le RGPD. Mais qui doit tenir un registre des activités de traitement ? Qui est concerné ? Qu’est-ce qui doit y apparaître ? Quelle forme prend-t-il ? Quels sont les risques en cas de non-tenue du registre ?

Qui doit tenir un registre ?

La tenue du registre des activités de traitement des données est obligatoire pour les organismes traitant les données personnelles, qu’ils soient publics ou privés et quelle que soit leur taille. 

Dès lors des responsables de traitement et, le cas échant, du représentant du responsable de traitement, mais aussi le sous-traitant et, le cas échant, son représentant, doivent le tenir. En principe, le responsable de traitement est une personne morale, autrement dit l’entreprise ou encore la collectivité.

Existe-t-il des exceptions ?

Sont dispensées, les entreprises ou organismes comptant moins de 250 employés, sauf si le traitement effectué est susceptible de comporter un risque pour les droits et liberté des personnes concernées. Ainsi, tel est le cas si le traitement n’est pas occasionnel ou s’il porte sur des données sensibles  (qui relèvent de l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, etc), ou encore si les données sont relatives aux condamnations pénales et aux infractions. 

Sont donc dispensées de la tenue d’un registre de traitement, les PME employant moins de 250 personnes, sauf exception. En pratique, il s’agit d’une exception extrêmement limitée, lorsque le traitement a lieu de manière occasionnelle. On peut à ce titre citer la CNIL qui indique :

En pratique, cette dérogation est donc limitée à des cas très particuliers de traitements, mis en œuvre de manière occasionnelle et non routinière, comme par exemple une campagne de communication à l’occasion de l’ouverture d’un nouvel établissement, sous réserve que ces traitements ne soulèvent aucun risque pour les personnes concernées. En cas de doute sur l’application de cette dérogation à un traitement, la CNIL vous recommande de l’intégrer dans votre registre.

Que doit contenir le registre des activités de traitement ?

En réalité, 2 registres doivent être tenus. Le premier lorsque vous opérez en tant que responsable de traitement, et le second, lorsque vous opérez en tant que sous-traitant.

Le registre tenu par le responsable de traitement

L'article 30 du RGPD énumère les différentes mentions qui doivent être présentes dans le premier registre :

    • Le nom et les coordonnĂ©es du responsable du traitement et, le cas Ă©chĂ©ant, du responsable conjoint du traitement, du reprĂ©sentant du responsable du traitement et du dĂ©lĂ©guĂ© de la protection des donnĂ©es,
    • Les finalitĂ©s du traitement,
    • Les catĂ©gories de personnes concernĂ©es (ex : employĂ©s ou clients) et des catĂ©gories de donnĂ©es Ă  caractères personnel (ex : identitĂ©, numĂ©ro de tĂ©lĂ©phone, profession),
    • Les catĂ©gories de destinataires auxquels les donnĂ©es Ă  caractère personnel ont Ă©tĂ© communiquĂ©es, y compris les destinataires dans des pays tiers ou des organisations internationales,
    • Les transferts de donnĂ©es Ă  caractère personnel vers un pays tiers ou Ă  une organisation internationale,
    • Si c’est possible, les dĂ©lais prĂ©vus pour l’effacement des diffĂ©rentes catĂ©gories de donnĂ©es (sachant que les donnĂ©es ne doivent pas ĂŞtre conservĂ©es pour une durĂ©e supĂ©rieure Ă  ce qui est nĂ©cessaire),
  • Si c’est possible, une description des mesures de sĂ©curitĂ© techniques et organisationnelles (ex : pseudonymisation).

Le second registre, nécessaire lorsque l'on est sous-traitant

L’article 30 du RGPD énumère les différentes mentions qui doivent être présentes dans le second registre : 

  • Le nom et les coordonnĂ©s du ou des sous-traitant de chaque responsable du traitement pour le compte duquel le sous-traitant agit,
  • Le nom et coordonnĂ©es du reprĂ©sentant du responsable du traitement ou du sous-traitant et celles du dĂ©lĂ©guĂ© Ă  la protection des donnĂ©es (DPO),
  • Les catĂ©gories de traitements effectuĂ©s pour le compte de chaque responsable de traitement,
  • Si tel est le cas, les transferts de donnĂ©es Ă  caractère personnel vers un pays tiers ou une organisation internationale,
  • Si c’est possible, une description des mesures de sĂ©curitĂ© techniques et organisationnelles (ex : pseudonymisation).

Sous quelle forme doit ĂŞtre tenu le registre ?

Le registre des activités de traitement doit être tenu sous forme écrite.

Tenir le registre sous forme électronique est bien sûr envisageable.

Quelles sont les sanctions en cas de non-respect ? 

En cas de non-respect du RGPD, la sanction n’est pas des moindres. L’entreprise ou l’organisme risque en effet une amende pouvant atteindre 20 000 000 euros ou, dans le cas d’une entreprise, 4% du chiffre d’affaires mondial total de l’exercice précédent. Le montant le plus élevé est celui retenu (article 83 du RGPD).

 
Obtenez un devis en 24 heures par nos avocats
Prestation demandée :
Pays ou organisation :
Type de contrat :
Votre besoin :
Votre besoin :
Votre besoin :
Vos informations :

* : champs obligatoires

Lectures en lien
un batiment Ă  l'architecture moderne
Donnees personnelles 15094 Vues

La revente (cession) de fichiers clients est soumise à une législation stricte, son non-respect est sanctionné par une peine pouvant aller jusqu'à 5 ans de prison et 300 000 euros d'amende. Découvrez quelles sont les modalités et conditions de revente d'un fichier de clients via internet.

poteau sur lequel il est Ă©crit "big data is watching you"
Donnees personnelles 4579 Vues

Depuis son entrée le vigueur le 25 mai 2018, le règlement général sur la protection des données, autrement appelé RGPD, a considérablement changé la façon dont les administrateurs de sites internet traitent les données collectées auprès de leurs clients.

application google sur smartphone
Donnees personnelles 4616 Vues

La publicité sur internet permet de présenter des produits à des consommateurs intéressés, elle est en cela plus efficace que la publicité traditionnelle. Toutefois, Google Ads se montre vigilant et les annonceurs doivent donc veiller au respect des règles de confidentialité.

un batiment Ă  l'architecture moderne
Donnees personnelles 7820 Vues

Que désigne l'expression "données sensibles" ? Quelles sont les conditions de stockage et d’hébergement des données médicales, données dites sensibles ? Quels sont les hébergeurs agréés ?

un graphique sur un Ă©cran d'ordinateur
Donnees personnelles 4666 Vues

Quelles sont les obligations d'un éditeur, ou hébergeur, d'un site internet concernant la conservation des données personnelles de leurs utilisateurs et visiteurs ? Apport du décret du décret n° 2011-219 du 25 février 2011.

un graphique sur un Ă©cran d'ordinateur
Donnees personnelles 5837 Vues

Le délégué à la protection des données, "Data Protection Officer" (DPO) en anglais, a été instauré par le RGPD, entré en vigueur le 25 mai 2018. Le DPO jouit d'une grande indépendance dans l'exercice de ses fonctions et doit veiller au bon respect du RGPD dans l'entreprise.

une personne tapant au clavier de son pc portable
Donnees personnelles 36486 Vues

L’identification d’une personne sur un site internet à partir de son adresse IP fait partie des problématiques relatives aux droits des internautes, que la loi puis les tribunaux encadrent et contrôlent. Plus précisément, est concernée l’épineuse question de la collecte et du traitement des données à caractère personnel.

une personne consultant des statistiques
Donnees personnelles 5433 Vues

Qu'est-ce que le RGPD ? Comment se mettre en conformité ? Quelles nouvelles obligations découlent du RGPD pour les sites internet ? Le RGPD, entré en vigueur le 25 mai 2018, consacre de nouveaux droits protecteurs au profit des internautes et impose de nouvelles obligations aux responsables de traitement.

des rangées de caméras accrochées à un mur
Donnees personnelles 8305 Vues

Depuis l'entrée en vigueur du RGPD, le 25 mai 2018, les déclarations auprès de la CNIL n'existent plus. La responsabilité du responsable de traitement s'en trouvant accrue, il est indispensable pour les organismes de se munir d'une politique de confidentialité.

photo en noir et blanc de quelqu'un tapant au clavier de son MacBook
Donnees personnelles 10945 Vues

La question de la conservation et de la suppression des données personnelles est épineuse. En effet, une durée de conservation doit obligatoirement être établie. Combien de temps peuvent-elles être conservées ? Peut-on demander leur suppression ? Quelles sont les sanctions en cas de non-respect de ce principe ?

une personne utilisant Google Analytics sur son ordinateur portable
Donnees personnelles 5421 Vues

Depuis l'entrée en vigueur du RGPD, le traitement de données à caractère personnel est conditionné à la mise en place de mesures de sécurité afin de les protéger. L’établissement d’une cartographie des données à caractère personnel apparaît comme la solution pour faciliter leur gestion et garantir leur protection.

une caméra sur un mur
Donnees personnelles 4431 Vues

Vous avez sûrement entendu parler du Règlement Général sur la Protection des Données, dit RGPD. Entré en vigueur en 2018, il a révolutionné le traitement des données personnelles au niveau européen. Comment s’applique-t-il ? Quelle est sa portée ? Nous y répondons dans cet article.

des personnes vues d'en haut en train de marcher sur un passage piéton
Donnees personnelles 11471 Vues

L’entrée en vigueur du Règlement général sur la protection des données et les réglementations existantes en la matière ont soulevé de nombreuses questions quant au traitement des données personnelles. Il existe aujourd’hui différentes méthodes pour les protéger, notamment celle de l’anonymisation des données.

photo prise du ciel d'un continent pendant la nuit
Donnees personnelles 4415 Vues

Depuis l’entrée en vigueur du Règlement Général sur la Protection des Données, dit RGPD, de nombreuses structures s’inquiètent de ne pas répondre à ses exigences. L’audit de conformité au RGPD apparaît être l’outil idéal pour être sûr de s’y conformer. Pourquoi faire un tel audit ? Quelles sont les principales étapes ?

une personne utilisant un ordinateur portable
Donnees personnelles 3407 Vues

Depuis l’entrée en vigueur en 2018 du Règlement général sur la protection des données, communément appelé RGPD, la mise en conformité au règlement est devenue un enjeu majeur pour les organismes concernés. C’est un processus qui passe par plusieurs étapes, que nous vous présentons ci-dessous.