Vous êtes ici : AccueilMots clésRGPD RESPONSABLE ET REGISTRE DES TRAITEMENTS

RGPD RESPONSABLE ET REGISTRE DES TRAITEMENTS

 

 

Une obligation qui concerne la plupart des entreprises

 

 

Le responsable d’un traitement de données à caractère personnel est, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens.

En pratique et en général, il s’agit de la personne morale incarnée par son représentant légal.

 

La constitution et le maintien d’un registre est une obligation prévue à l’article 30 du RGPD. Elle s’applique à tous les organismes qui traitent des données personnelles de façon régulière dans le cadre de leurs activités,il permet de recenser vos traitements de données et de disposer d’une vue d’ensemble de ce que vous faites avec les données personnelles.

Le registre des traitements doit permettre d’identifier précisément :

  • les parties prenantes qui interviennent dans le traitement des données ;
  • les catégories de données traitées,
  • à quoi servent ces données ;
  • qui y accède et à qui elles sont communiquées ;
  • combien de temps elles sont conservées ;
  • comment elles sont sécurisées.

 

Les entreprises de moins de 250 salariés bénéficient d’une dérogation en ce qui concerne la tenue de registres.

Elles doivent inscrire au registre les seuls traitements de données suivants :

  • Les traitements non occasionnels (exemple : gestion de la paie, gestion des clients/prospects et des fournisseurs, etc.) ;
  • Les traitements susceptibles de comporter un risque pour les droits et libertés des personnes (exemple : systèmes de géolocalisation, de vidéosurveillance, etc.)
  • Les traitements qui portent sur des données sensibles (exemple : données de santé, infractions, etc.).

En pratique, cette dérogation est donc limitée à des cas très particuliers de traitements, mis en œuvre de manière occasionnelle et non routinière, comme par exemple une campagne de communication à l’occasion de l’ouverture d’un nouvel établissement, sous réserve que ces traitements ne soulèvent aucun risque pour les personnes concernées.

En cas de doute sur l’application de cette dérogation à un traitement, il est préférable de l’intégrer dans votre registre.

La mise à jour de tous les registres des différents traitements doit se faire au fil de l’eau, c’est à dire dès que le changement est intervenu, dans le contexte de l’entreprise, mais pas une semaine après.

 

Registre des activités de traitement

1 Chaque responsable du traitement et,le cas échéant,le représentant du responsable du traitement tiennent un registre des activités de traitement effectuées sous leur responsabilité.

Ce registre comporte toutes les informations suivantes:

a) le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données;
b) les finalités du traitement;
c) une description des catégories de personnes concernées et des catégories de données à caractère personnel;
d) les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales;
e) le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa, les documents attestant de l’existence de garanties appropriées;
f) dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données;
g) dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l’article 32, paragraphe 1.

2 Chaque sous-traitant et, le cas échéant, le représentant du sous-traitant tiennent un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable du traitement, comprenant:

a) le nom et les coordonnées du ou des sous-traitants et de chaque responsable du traitement pour le compte duquel le sous-traitant agit ainsi que, le cas échéant, les noms et les coordonnées du représentant du responsable du traitement ou du sous-traitant et celles du délégué à la protection des données;
b) les catégories de traitements effectués pour le compte de chaque responsable du traitement;
c) le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa, les documents attestant de l’existence de garanties appropriées;
d) dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l’article 32, paragraphe 1.

Les registres visés aux paragraphes 1 et 2 se présentent sous une forme écrite y compris la forme électronique.

Le responsable du traitement ou le sous-traitant et, le cas échéant, leur représentant mettent le registre à la disposition de l’autorité de contrôle sur demande.

Les obligations visées aux paragraphes 1 et 2 ne s’appliquent pas à une entreprise ou à une organisation comptant moins de 250 employés, sauf si le traitement qu’elles effectuent est susceptible de comporter un risque pour les droits et des libertés des personnes concernées, s’il n’est pas occasionnel ou s’il porte notamment sur les catégories particulières de données visées à l’article 9, paragraphe 1, ou sur des données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10.

 

 

RETOUR AU COCKPIT

 

 

Votre entreprise a subi une violation de données (des données personnelles ont été, de manière accidentelle ou illicite, détruites, perdues, altérées,divulguées ou vous avez constaté un accès non autorisé à des données) ?
Vous devez le signaler à votre DPO, et en absence de DPO à la CNIL dans les 72 heures si cette violation est susceptible de représenter un risque pour les droits et libertés des personnes concernées.
Si ces risques sont élevés pour ces personnes, vous devrez les en informer.

 

 

Euro Data Protection  et Sirpac Informatique sont des marques du Groupe Sirpac SAS