RGPD Article 30 – Registre de traitement

registre rgpd rempli

Résumé

L’article 30 du RGPD (Règlement général sur la protection des données) indique que les entreprises et organisations doivent tenir un registre (c’est-à-dire une liste) de toutes les activités qu’elles font avec ces données. Ce registre doit comporter des informations sur les données elles-mêmes, sur qui a accès à ces données et sur la manière dont elles sont protégées.

Si on leur demande, ces entreprises et organisations doivent montrer ce registre à une autorité qui vérifie qu’elles respectent bien la loi sur la protection des données.

Les responsables de traitements et les sous-traitants doivent tenir un registre des activités de traitement de données personnelles effectuées sous leur responsabilité.

Le registre rgpd doit inclure des informations sur les coordonnées du responsable/sous-traitant, les fins du traitement, les catégories de personnes et de données concernées, les destinataires des données, les transferts de données vers des pays tiers, les délais prévus pour l’effacement des données et les mesures de sécurité mises en place.

Exemple de registre RGPD rempli

Actions

  • Les responsables de traitements (c’est-à-dire les organisations qui déterminent les fins et les moyens de traitement de données personnelles) et, le cas échéant, leurs représentants doivent tenir un registre des activités de traitement effectuées sous leur responsabilité.
  • Ce registre doit comporter les informations suivantes :
    • Le nom et les coordonnées du responsable de traitement et, le cas échéant, du responsable conjoint de traitement, du représentant du responsable de traitement et du délégué à la protection des données.
    • Les finalités du traitement.
    • Une description des catégories de personnes concernées et des catégories de données à caractère personnel.
    • Les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales.
    • Le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa, les documents attestant de l’existence de garanties appropriées.
    • Dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données.
    • Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l’article 32, paragraphe 1.
  • Les sous-traitants (c’est-à-dire les organisations qui traitent des données personnelles pour le compte de responsables de traitements) et, le cas échéant, leurs représentants doivent également tenir un registre de toutes les catégories d’activités de traitement effectuées pour le compte d’un responsable de traitement, comprenant :
    • Le nom et les coordonnées du ou des sous-traitants et de chaque responsable de traitement pour le compte duquel le sous-traitant agit ainsi que, le cas échéant, les noms et les coordonnées du représentant du responsable de traitement ou du sous-traitant et celles du délégué à la protection des données.
    • Les catégories de traitements effectués pour le compte de chaque responsable de traitement.
    • Le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation

Confier l’écriture du registre à un spécialiste

Il peut être difficile pour les entreprises et organisations de tenir un registre des activités de traitement des données personnelles conformément à la réglementation en matière de protection des données. Cela peut être décourageant et prendre du temps, notamment pour celles qui n’ont pas l’expertise ou les ressources nécessaires.

Si le registre n’est pas correctement tenu, cela peut entraîner des risques pour les droits et libertés des personnes concernées, ainsi que pour la réputation de l’entreprise ou de l’organisation. De plus, ne pas disposer d’un registre adéquat peut rendre difficile la conformité à la réglementation en matière de protection des données et peut entraîner des sanctions.

Recourir à un consultant spécialisé en protection des données peut être une solution efficace pour tenir un registre des activités de traitement des données personnelles en conformité avec la réglementation. Un consultant possède l’expertise et les connaissances nécessaires pour aider les entreprises et les organisations à établir un registre adéquat, tout en leur permettant de se concentrer sur leur cœur de métier. De plus, un consultant peut les aider à éviter les risques pour les personnes concernées et leur réputation, ainsi que les sanctions liées à la non-conformité.

Texte complet de l’article 30

Article 30 – Registre des activités de traitement

  1. Chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement tiennent un registre des activités de traitement effectuées sous leur responsabilité. Ce registre comporte toutes les informations suivantes:

a) le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données;

b) les finalités du traitement;

c) une description des catégories de personnes concernées et des catégories de données à caractère personnel;

d) les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales;

e) le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa, les documents attestant de l’existence de garanties appropriées;

f) dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données;

g) dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l’article 32, paragraphe 1.

  1. Chaque sous-traitant et, le cas échéant, le représentant du sous-traitant tiennent un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable du traitement, comprenant:

a) le nom et les coordonnées du ou des sous-traitants et de chaque responsable du traitement pour le compte duquel le sous-traitant agit ainsi que, le cas échéant, les noms et les coordonnées du représentant du responsable du traitement ou du sous-traitant et celles du délégué à la protection des données;

b) les catégories de traitements effectués pour le compte de chaque responsable du traitement;

c) le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa, les documents attestant de l’existence de garanties appropriées;

d) dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l’article 32, paragraphe 1.

  1. Les registres visés aux paragraphes 1 et 2 se présentent sous une forme écrite y compris la forme électronique.
  2. Le responsable du traitement ou le sous-traitant et, le cas échéant, leur représentant mettent le registre à la disposition de l’autorité de contrôle sur demande.
  3. Les obligations visées aux paragraphes 1 et 2 ne s’appliquent pas à une entreprise ou à une organisation comptant moins de 250 employés, sauf si le traitement qu’elles effectuent est susceptible de comporter un risque pour les droits et des libertés des personnes concernées, s’il n’est pas occasionnel ou s’il porte notamment sur les catégories particulières de données visées à l’article 9, paragraphe 1, ou sur des données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10.