[RGPD] Le registre des activités de traitement est-il vraiment systématique ?

Le Règlement général relatif à la protection des données (RGPD) impose-t-il à toutes les entreprises d’avoir un registre des activités de traitement ? Près d’un répondant sur deux à nos questionnaires ne connaît pas la bonne réponse à cette question pourtant essentielle. Pourtant, il s’agit là d’une notion socle du RGPD qui entrera en application dans moins de deux mois. 

Le registre des activités de traitement est le document grâce auquel tout responsable de traitement recense les traitements de données personnelles qu’il effectue en y indiquant leurs spécificités propres. Leur utilité est d’avoir toutes les informations utiles réunies dans un seul document de cadrage. Le caractère obligatoire ou facultatif de tenir à jour un tel document semble assez confus dans l’esprit des entreprises. 

 

Vous avez un doute sur ce qu’est le RGPD ? Mettez-vous à jour en deux minutes en cliquant ici ! 

Pour en apprendre plus et savoir si vous êtes prêts à faire face au RGPD, répondez à nos questionnaires en ligne. 

Et pour être sûr de n’oublier aucun détail pratique du RGPD, demandez ici votre guide complet « RGPD : les bons conseils pour réussir » qui vous donne toutes les clefs théoriques et pratiques sur plus de 150 pages ! 

 

Le registre des activités de traitement peut être obligatoire…

Prévu à l’article 30 du RGPD, le registre des activités de traitement est en principe obligatoire pour tous les responsables de traitement. Le registre des activités de traitement doit nécessairement être sous forme écrite, même s’il est réalisé électroniquement. 

Le RGPD dresse la liste de tous les types d’informations qui doivent figurer dans le registre : le nom et les coordonnées du responsable du traitement, les finalités du traitement, les catégories de personnes et de données concernées, les catégories des destinataires éventuels des données, le transfert éventuellement prévu vers un pays tiers, les délais d’effacement prévus par type de données, et enfin la description globale des mesures techniques et organisationnelles prises pour assurer la sécurité des données. 

L’objectif de ce registre est vraiment d’avoir une vision d’ensemble claire de tous les traitements de données personnelles effectuées par le responsable du traitement. Il faut bien savoir que le sous-traitant aussi doit tenir à jour un tel registre. 

Ce registre doit être mis à disposition de l’autorité de contrôle, la CNIL en France, si celle-ci demande à le consulter. 

Le RGPD prévoit toutefois une exception de taille à cette obligation de tenir à jour un registre des activités de traitement. 

 

…mais le RGPD prévoit une exception !

L’obligation de tenir à jour un registre des activités de traitement ne concerne pas toutes les entreprises de moins de 250 salariés ! Cela vise tout de même 3 814 082 entreprises si l’on se reporte aux données de l’INSEE. Le dernier point de l’article 30 du RGPD indique bel et bien que l’entreprise ou l’organisation qui compte moins de 250 salariés n’est pas visée par l’obligation de cartographier ses traitements de données personnelles. 

Une limite fondamentale est toutefois posée à cette exception : dès lors que l’entreprise effectue un traitement peut comporter un risque pour les droits et libertés des individus, elle est exclue de l’exception. Cela concerne par exemple les traitements de données sensibles ou de données liées à des condamnations pénales. 

Au-delà de cette question d’obligation, soulignons qu’il reste très utile de mettre en oeuvre un registre des activités de traitement. Cela permet au responsable du traitement de savoir concrètement quels sont les traitements qu’il réalise. Cette mise au point facilite la prise de décision pour la conformité au RGPD et semble être un point de passage quasi-inévitable pour ne laisser aucun détail en cours de route. 

Ajouter aux articles favoris
Please login to bookmarkClose
0 Shares:
Vous pourriez aussi aimer
Armées
Lire plus

FO Défense dénonce l’accord PSC santé des Armées

Alors qu'au sein du ministère des Armées, la réforme de la protection sociale complémentaire (PSC) doit entrer en vigueur à partir du 1er janvier prochain, le sujet continue de susciter quelques débats paritaires en interne. La dénonciation par la fédération de FO de la Défense de l'accord PSC santé signé aux Armées vient en témoigner. C'est par le moyen d'un communiqué qu'elle a publié en milieu de semaine que FO...

François Bayrou agrée la convention sur l’assurance chômage

C'est le 15 novembre 2024 que les partenaires sociaux signaient leur nouvelle convention sur l'assurance chômage. Le texte vient d'être agréé par le Premier ministre François Bayrou avec quelques exclusions. Toutes les dispositions agréées s'appliqueront ainsi à compter du 1er janvier 2025. Retrouvez-en la teneur ci-dessous : ...