Registre des activités de traitement

Documentation interne des activités de traitement

Le nouveau règlement européen (« RGPD ») impose aux responsables du traitement (ou son représentant) ainsi qu’aux sous-traitants de maintenir une documentation interne des activités de traitement qui ont lieu sous leur responsabilité.

Ce Registre permet aux responsables du traitement et sous-traitants d’identifier et de disposer d’une vue d’ensemble des traitements de données à caractère personnel qu’ils opèrent. Ce Registre doit être fait par écrit (électronique) et doit être clair et compréhensible.

Pour chaque traitement de données opéré, le Registre devra contenir des informations spécifiques :

QUI ?

- Inscrivez le nom et les coordonnées du responsable du traitement (et le cas échéant ajoutez celles du représentantl) et du délégué à la protection des données si vous devez en désignez un.
- Établissez la liste des sous-traitants

QUOI ?

- Identifiez les catégories de données traitées ainsi que les catégories des personnes concernées.
- Identifiez les données dites sensibles telles que les données de santé et judiciaires. 

 

POURQUOI ?

Identifiez les finalités pour lesquelles les données sont traitées. La description de la finalité doit être le plus précise possible. 

OÙ ?

- Indiquez les catégories de destinataires (pays tiers) auxquels les données sont transférées.
- Ajoutez les transferts vers un pays tiers ou une organisation internationale, y compris l’identification du pays

JUSQU'À QUAND ?

Indiquez pour chaque catégorie de données la durée de conservation. La durée de conservation ne dois pas nécessairement comprendre une durée en jours, mois, années mais peut également faire référence au temps nécessaire à la réalisation d’un projet concret.

COMMENT ?

Décrivez de manière générale quelles mesures de sécurité techniques et organisationnelles sont introduites pour garantir un niveau de sécurité adapté au risque.

Exception ?

L’obligation de documentation interne comporte une exception pour les entreprises comptants moins de 250 employés. Cette exception a une portée très limitée et c’est pour cette raison que la Commission vie privée recommande malgré tout à tous les responsables de traitement et sous-traitants d’établir un Registre.

En savoir plus sur l'exeption

Modèle de Registre

La Commission vie privée met à disposition un modèle de registre de traitement. Ce Registre est un « modèle » et il n'est donc pas obligatoire d'utiliser ce modèle-ci. 

En savoir plus sur le modèle de la Commission