09 72 50 78 06  -  Paris France 2018@RGPDFrance.com

Tenue du Registre des traitements des données

Les informations des activités de traitement peuvent être transcrites sur un Registre sous forme papier ou électronique.
Un support papier offrirait, le cas échéant, de meilleures garanties de contrôle qu’un support informatique de type standard et non sécurisé.

Le responsable du traitement ou son représentant doivent consigner l’ensemble des informations suivantes sur le Registre :

  • le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données;
  • les finalités du traitement;
  • une description des catégories de personnes concernées et des catégories de données à caractère personnel;
  • les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales;
  • le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale
    (voir également à l’article 49 du Règlement les cas de dérogations pour des situations particulières);
  • dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données;
  • dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles
    (voir article 32 : pseudonymisation, chiffrement des données et autres moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement).

 

Un sous-traitant ou son représentant devront également se conformer à des dispositions similaires à celles exposées ci-dessus, mais ils devront de plus préciser :

  • le nom et les coordonnées du ou des sous-traitants et de chaque responsable du traitement pour le compte duquel le sous-traitant agit ainsi que, le cas échéant, les noms et les coordonnées du représentant du responsable du traitement ou du sous-traitant et celles du délégué à la protection des données;
  •  les catégories de traitements effectués pour le compte de chaque responsable du traitement;

 

N.B. : Les obligations de tenue de Registre pour le responsable de traitement ou pour un sous-traitant ne s’appliquent pas à une entreprise ou à une organisation comptant moins de 250 employés, sauf si le traitement qu’elles effectuent est susceptible de comporter un risque pour les droits et des libertés des personnes concernées, s’il n’est pas occasionnel ou s’il porte notamment sur les catégories particulières de données, telles que :

  • celles qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique (article 9).
  • celles relatives aux condamnations pénales et aux infractions (article 10).

 

Références
Principalement article 30 et autres articles 9, 10, 45, 46, 49.


(source Commission européenne. M.à.j. 31-01-2018)