”Chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement tiennent un registre des activités de traitement effectuées sous leur responsabilité. Ce registre comporte toutes les informations suivantes: a) le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données; … Les obligations visées aux paragraphes 1 et 2 ne s’appliquent pas à une entreprise ou à une organisation comptant moins de 250 employés, sauf si le traitement qu’elles effectuent est susceptible de comporter un risque pour les droits et des libertés des personnes concernées, s’il n’est pas occasionnel ou s’il porte notamment sur les catégories particulières de données visées à l’article 9, paragraphe 1, ou sur des données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10. ”
article 30
Article 30 du RGPD Dans le cadre du RGPD, l’article 30 vous présente le registre des activités de traitement. Ce registre vous donne la possibilité de recenser vos traitements de données et avoir une vue d’ensemble de vos objectifs concernant les données personnelles que vous possédez. Afin de bien comprendre cet article, il est important de déterminer qui est concerné, comment se compose un registre des traitements et qui peut le voir. Ce registre contenant les activités de traitement n’a pas d’obligation légale pour toutes entreprises ou organisations qui possède moins de 250 employés mise à part les cas où :
- le traitement comporte un risque pour les droits et les libertés des personnes en lien avec les données;
- le traitement est récurent;
- le traitement porte sur les données particulières de l’Article 9 ou de l’article 10.
Vous êtes le responsable du traitement
Si vous êtes le responsable du traitement, c’est-à-dire la personne morale qui décide de la finalité et des moyens du fichier, vous devez indiquer dans votre registre des traitements les informations suivantes :
- votre nom et coordonnée (au cas échéant, celui du responsable conjoint, du représentant du responsable et du délégué à la protection des données.);
- les objectifs principaux de l’utilisation, appelés finalités du traitement;
- les différentes catégories dans lesquelles vous aller trier les données des personnes;
- les catégories de destinataires nationales et internationales.
vous êtes le sous-traitant
Si vous êtes le sous-traitant, vous avez les mêmes obligations qu’un responsable du traitement. Votre registre des activités de traitement élaboré par le responsable, comportera les informations suivantes :
- votre nom et coordonnée ainsi que celles de chaque responsable de traitement (et au cas échéant, vos représentants et ceux de chaque responsable ainsi que le délégué des données personnelles.);
- les catégories de traitements effectués pour chaque responsable.
En tant que responsable des traitements ou sous-traitant, vous pouvez, si vous avez la possibilité, ajouter les informations suivantes dans votre registre:
- le transfert des données personnelles en national et international avec l’identification de ces lieux;
- les cas de transfert lié à l’Article 49;
- les délais mis en place pour la disparition des catégories de données;
- une description globale des règles de sécurités liée à l’article 32.
Dans tous les cas, que vous soyez responsable ou soustraitant
Votre registre des activités de traitement, peu importe votre statut, doit être présenté sous une forme écrite (cela concerne également la forme électronique) et doit être disponible si une autorité de contrôle le demande.
Comprenez bien qu’il est absolument illégal de ne pas prendre en compte l’article 30 du RGPD et que vous pouvez recevoir des sanctions financières si vous ne le respectez pas. Mise à part le respect de la loi et votre preuve de conformité au RGPD, le registre est un outil de pilotage intéressant pour la pertinence, la protection et les objectifs de vos données personnelles collectées.
