Le Règlement général relatif à la protection des données (RGPD) impose-t-il à toutes les entreprises d’avoir un registre des activités de traitement ? Près d’un répondant sur deux à nos questionnaires ne connaît pas la bonne réponse à cette question pourtant essentielle. Pourtant, il s’agit là d’une notion socle du RGPD qui entrera en application dans moins de deux mois.
Le registre des activités de traitement est le document grâce auquel tout responsable de traitement recense les traitements de données personnelles qu’il effectue en y indiquant leurs spécificités propres. Leur utilité est d’avoir toutes les informations utiles réunies dans un seul document de cadrage. Le caractère obligatoire ou facultatif de tenir à jour un tel document semble assez confus dans l’esprit des entreprises.
Vous avez un doute sur ce qu’est le RGPD ? Mettez-vous à jour en deux minutes en cliquant ici !
Pour en apprendre plus et savoir si vous êtes prêts à faire face au RGPD, répondez à nos questionnaires en ligne.
Et pour être sûr de n’oublier aucun détail pratique du RGPD, demandez ici votre guide complet « RGPD : les bons conseils pour réussir » qui vous donne toutes les clefs théoriques et pratiques sur plus de 150 pages !
Le registre des activités de traitement peut être obligatoire…
Prévu à l’article 30 du RGPD, le registre des activités de traitement est en principe obligatoire pour tous les responsables de traitement. Le registre des activités de traitement doit nécessairement être sous forme écrite, même s’il est réalisé électroniquement.
Le RGPD dresse la liste de tous les types d’informations qui doivent figurer dans le registre : le nom et les coordonnées du responsable du traitement, les finalités du traitement, les catégories de personnes et de données concernées, les catégories des destinataires éventuels des données, le transfert éventuellement prévu vers un pays tiers, les délais d’effacement prévus par type de données, et enfin la description globale des mesures techniques et organisationnelles prises pour assurer la sécurité des données.
L’objectif de ce registre est vraiment d’avoir une vision d’ensemble claire de tous les traitements de données personnelles effectuées par le responsable du traitement. Il faut bien savoir que le sous-traitant aussi doit tenir à jour un tel registre.
Ce registre doit être mis à disposition de l’autorité de contrôle, la CNIL en France, si celle-ci demande à le consulter.
Le RGPD prévoit toutefois une exception de taille à cette obligation de tenir à jour un registre des activités de traitement.
…mais le RGPD prévoit une exception !
L’obligation de tenir à jour un registre des activités de traitement ne concerne pas toutes les entreprises de moins de 250 salariés ! Cela vise tout de même 3 814 082 entreprises si l’on se reporte aux données de l’INSEE. Le dernier point de l’article 30 du RGPD indique bel et bien que l’entreprise ou l’organisation qui compte moins de 250 salariés n’est pas visée par l’obligation de cartographier ses traitements de données personnelles.
Une limite fondamentale est toutefois posée à cette exception : dès lors que l’entreprise effectue un traitement peut comporter un risque pour les droits et libertés des individus, elle est exclue de l’exception. Cela concerne par exemple les traitements de données sensibles ou de données liées à des condamnations pénales.
Au-delà de cette question d’obligation, soulignons qu’il reste très utile de mettre en oeuvre un registre des activités de traitement. Cela permet au responsable du traitement de savoir concrètement quels sont les traitements qu’il réalise. Cette mise au point facilite la prise de décision pour la conformité au RGPD et semble être un point de passage quasi-inévitable pour ne laisser aucun détail en cours de route.
