[RGPD] Le registre des activités de traitement est-il vraiment systématique ?

Le Règlement général relatif à la protection des données (RGPD) impose-t-il à toutes les entreprises d’avoir un registre des activités de traitement ? Près d’un répondant sur deux à nos questionnaires ne connaît pas la bonne réponse à cette question pourtant essentielle. Pourtant, il s’agit là d’une notion socle du RGPD qui entrera en application dans moins de deux mois. 

Le registre des activités de traitement est le document grâce auquel tout responsable de traitement recense les traitements de données personnelles qu’il effectue en y indiquant leurs spécificités propres. Leur utilité est d’avoir toutes les informations utiles réunies dans un seul document de cadrage. Le caractère obligatoire ou facultatif de tenir à jour un tel document semble assez confus dans l’esprit des entreprises. 

 

Vous avez un doute sur ce qu’est le RGPD ? Mettez-vous à jour en deux minutes en cliquant ici ! 

Pour en apprendre plus et savoir si vous êtes prêts à faire face au RGPD, répondez à nos questionnaires en ligne. 

Et pour être sûr de n’oublier aucun détail pratique du RGPD, demandez ici votre guide complet « RGPD : les bons conseils pour réussir » qui vous donne toutes les clefs théoriques et pratiques sur plus de 150 pages ! 

 

Le registre des activités de traitement peut être obligatoire…

Prévu à l’article 30 du RGPD, le registre des activités de traitement est en principe obligatoire pour tous les responsables de traitement. Le registre des activités de traitement doit nécessairement être sous forme écrite, même s’il est réalisé électroniquement. 

Le RGPD dresse la liste de tous les types d’informations qui doivent figurer dans le registre : le nom et les coordonnées du responsable du traitement, les finalités du traitement, les catégories de personnes et de données concernées, les catégories des destinataires éventuels des données, le transfert éventuellement prévu vers un pays tiers, les délais d’effacement prévus par type de données, et enfin la description globale des mesures techniques et organisationnelles prises pour assurer la sécurité des données. 

L’objectif de ce registre est vraiment d’avoir une vision d’ensemble claire de tous les traitements de données personnelles effectuées par le responsable du traitement. Il faut bien savoir que le sous-traitant aussi doit tenir à jour un tel registre. 

Ce registre doit être mis à disposition de l’autorité de contrôle, la CNIL en France, si celle-ci demande à le consulter. 

Le RGPD prévoit toutefois une exception de taille à cette obligation de tenir à jour un registre des activités de traitement. 

 

…mais le RGPD prévoit une exception !

L’obligation de tenir à jour un registre des activités de traitement ne concerne pas toutes les entreprises de moins de 250 salariés ! Cela vise tout de même 3 814 082 entreprises si l’on se reporte aux données de l’INSEE. Le dernier point de l’article 30 du RGPD indique bel et bien que l’entreprise ou l’organisation qui compte moins de 250 salariés n’est pas visée par l’obligation de cartographier ses traitements de données personnelles. 

Une limite fondamentale est toutefois posée à cette exception : dès lors que l’entreprise effectue un traitement peut comporter un risque pour les droits et libertés des individus, elle est exclue de l’exception. Cela concerne par exemple les traitements de données sensibles ou de données liées à des condamnations pénales. 

Au-delà de cette question d’obligation, soulignons qu’il reste très utile de mettre en oeuvre un registre des activités de traitement. Cela permet au responsable du traitement de savoir concrètement quels sont les traitements qu’il réalise. Cette mise au point facilite la prise de décision pour la conformité au RGPD et semble être un point de passage quasi-inévitable pour ne laisser aucun détail en cours de route. 

Ajouter aux articles favoris
Please login to bookmarkClose
0 Shares:
Vous pourriez aussi aimer
Lire plus

Le transfert de charges vers les Ocam symboliquement neutralisé par les députés

Contre toute attente, les députés ont réussi à faire voter la neutralisation symbolique du transfert de charges de la sécurité sociale vers les organismes complémentaires d'assurance maladie (Ocam) prévu en 2025. Considéré comme une mesure d'équité par le gouvernement, ce transfert évalué à 1,1 Md€ se traduira en pratique par une hausse du ticket modérateur sur les...

Avis d’extension d’un avenant à un accord dans la CCN de l’industrie des tuiles et briques

La ministre du travail et de l’emploi envisage d’étendre, par avis publié le 5 novembre 2024, les dispositions de l’avenant du 26 juin 2024 à l'accord du 11 mai 2021 relatif à l'emploi des jeunes, formation par l'alternance et développement des CQP, conclu dans le cadre de la convention collective nationale de l’industrie des tuiles et briques (...

Avis d’extension d’un accord conclu dans la CCN des menuiseries charpentes

La ministre du travail et de l'emploi, envisage d’étendre, par avis publié le 5 novembre 2024, les dispositions de l’accord du 18 juillet 2024 relatif aux catégories de bénéficiaires du régime de protection complémentaire, conclu dans le cadre de la convention collective nationale des menuiseries, des charpentes et constructions industrialisées et des portes planes (...

Avis d’extension d’avenants dans la CCN des coopératives de consommateurs salariés

La ministre du travail et de l'emploi, envisage d’étendre, par avis publié le 5 novembre 2024, les dispositions de l’avenant n° 1 du 27 septembre 2024 à l'accord du 20 juin 2019 relatif à la prévoyance et de l'avenant n° 2 du 27 septembre 2024 à l'accord du 30 septembre 2022 relatif à la liberté de choisir son avenir professionnel, conclus dans le cadre de la convention collective nationale des coopératives de consommateurs salariés (...