Quels sont les éléments obligatoires d’un registre de traitement ?
Le registre des activités ou le registre de traitement est un document employé par le responsable de traitement ou le dpo. Il a été institué par le RGPD afin de recenser les traitements des données à caractères personnels. C’est également un outil pour assurer la mise en conformité avec le règlement. Toutes les informations nécessaires dans le registre de traitement sont prévues dans l’article 30 du RGPD. Focus sur les éléments obligatoires d’un registre de traitement.
Registre de traitement : qu’est-ce que c’est ?
Le registre de traitement est un document écrit pour la mise en conformité avec le RGPD. Il assure ainsi le respect des règles de protection des données. La personne responsable de ce document est le Délégué à la protection des données. Le cas échéant, ce rôle revient au responsable du traitement de conformité des données. Par ailleurs, il est important de souligner que toutes les entreprises qui traitent les données à caractère personnel sont obligées de tenir un registre des activités. Le RGPD distingue des cas obligatoires pour la tenue d’un registre. Les entreprises visées sont :
- celles qui emploient plus de 250 employés ;
- celles qui traitent les données personnelles en prenant en compte que ce traitement engendre un risque sur les droits et libertés personnelles ;
- celles qui usent des données sensibles ;
- celles qui traitent les données concernant le sujet des condamnations pénales.
Si vous souhaitez approfondir le sujet du registre de traitement, lire cet article vous sera d’une aide précieuse.
Les rôles du responsable de traitement
Le registre de traitement doit être tenu par le responsable du traitement. Il peut ainsi s’agir d’un délégué au représentant du CNIL au sein de l’organisme. Pour assurer la conformité avec le droit, le responsable de traitement doit respecter les mentions obligatoires. Par ailleurs, sachez qu’il est passible d’une amende en cas de non-respect à ces obligations.
Les éléments du registre de traitement
Le registre du responsable de traitement
Les mentions obligatoires légales sont nombreuses. Ce sont, selon le RGPD, les éléments qui doivent figurer dans le registre. De ce fait, le registre doit comporter le nom et les coordonnées du responsable de traitement ou bien, ceux du délégué à la protection des données à caractère personnelle. Ensuite, l’objet d’un traitement doit être précisé dans le registre des activités. En effet, un registre qui n’a pas de finalité exacte ne respecte pas la conformité avec le règlement. En outre, la catégorie de personnes traitées doit être également mentionnée. Les catégories des destinataires ainsi que les éventuels transferts des données collectés devront être écrits. Afin de renforcer la protection des données personnelles, les mesures de sécurité sont prévues en avance.
Le registre du sous-traitant
La tenue du registre peut aussi être effectuée en sous-traitance. Toutefois, il est à noter que les sous-traitants doivent aussi démontrer sa conformité. Ce sont notamment des prestataires qui agissent au nom et pour le compte d’un dpo ou d’un responsable de registre. Par ailleurs, ils devront pareillement mentionner leur nom et coordonnées ainsi que les catégories de traitement, comme décrit plus haut.
Comment constituer un registre de traitement ?
La commission nationale de l’informatique et des libertés propose un modèle de registre. Ce registre des activités rassemble toutes les informations disponibles. En effet, il récapitule les données collectées sur un site internet de l’entreprise. Une catégorisation de traitement doit être effectuée. Il s’agit d’identifier les données selon les finalités du traitement. Ensuite, le responsable établit une fiche de registre. Aussi, une analyse d’impact du traitement des données doit être faite. Ce procédé permet de faciliter la mise en conformité avec le RGPD.
Utilité ?
Les finalités du traitement doivent être précises à l’avance. Le registre de traitement est un outil de pilotage pour la démarche de mise en conformité. C’est donc un document important pour l’entreprise. Du côté de la personne concernée, l’existence de ce registre représente une garantie de sécurité. C’est ainsi une manière de renforcer la protection de la vie privée. En effet, la personne obtient à la fois le droit d’accès et le droit d‘opposition aux informations enregistrées.