RGPD, le registre des traitements

RGPD : le registre des traitements est-il obligatoire ?

Aux termes de l’article 30 du RGPD, « chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement tiennent un registre des activités de traitement effectuées sous leur responsabilité ». 

Quelles sont les informations devant figurer dans le registre des traitements ? 

Ce registre de traitement doit comporter les informations suivantes : 

• Le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données ; 

• Les finalités du traitement ; 
• Une description des catégories de personnes concernées et des catégories de données personnelles ; 
• Les catégories de destinataires auxquels les données personnelles ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales ; 
• Le cas échéant, les transferts de données personnelles vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa, les documents attestant de l’existence de garanties appropriées ; 
• Dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données personnelles ; 

• Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l’article 32, paragraphe 1. 

Ces obligations incombent également aux sous-traitants ayant accès à ces données personnelles. 

En cas de non-respect de ces obligations, le responsable de traitement et, le cas-échéant, les sous-traitants, s’exposent à une amende pouvant aller jusqu’à 10 millions d’euros ou 2% du chiffres d’affaires annuel mondial sur l’exercice précédent. 

Est-il obligatoire de réaliser un registre des traitements lors mon entreprise emploie moins de 250 salariés ? 

Il est obligatoire de tenir un registre de traitement dans les cas suivants : 

•   Lorsque l’entreprise ou l’administration emploie plus de 250 salariés ; 
•   Quel que soit le nombre de salariés, lorsqu’un traitement de données personnelles est non occasionnel ou porte sur des données dites « sensibles » (article 9 du RGPD) ; 
•   Quel que soit le nombre de salariés, lorsqu’un traitement est susceptible de comporter un risque de violation des droits et libertés individuelles des personnes concernées par le traitement ; 
•   Quel que soit le nombre de salariés, lorsqu’un traitement est relatif à des condamnations pénales et des infractions. 

A cet égard, seule une entité ne traitant pas de données à caractère personnel de manière « occasionnelle » peut s’affranchir de l’obligation de rédiger un registre des traitements. 

En pratique, cela signifie que l’entreprise en question ne doit pas posséder de fichier relatif aux données de ses salariés, de ses prospects et/ou de ses clients (ou à tout le moins aucun fichier ne mentionnant de données à caractère personnel de ces personnes).  

Dans toutes les autres hypothèses (ce qui représente 99% des entreprises), la réalisation d’un registre des traitements est obligatoire.