Le registre des activités de traitement, également appelé « registre des traitements » est l’un des documents piliers de la conformité au Règlement général sur le protection des données (ci-après « RGPD »). 

 

L’obligation de tenir un registre des traitements

 

L’article 30 du RGPD impose la mise en place et la tenue d’un registre des traitements. . Ce document vise à recenser l’ensemble des traitements de données personnelles qui sont collectées par une entité. Cet article a une portée étendue, puisqu’il s’impose aux entités privées et publiques traitant les données personnelles de citoyens européens. 

 

Seules les entreprises de moins de 250 employés sont exemptées de cette obligation, à condition que ses traitements de données : 

- soient occasionnels, 

- ne risquent pas de porter atteinte aux droits et libertés des individus, ou

- n’impliquent pas de données sensibles. 

 

En pratique, les entreprises de moins de 250 employés sont donc souvent soumises à l’obligation de tenir un registre de traitement. 

 

Les acteurs clés du registre des traitements

 

Le responsable du traitement est, en application de l’article 4.7 du RGPD, « la personne physique ou morale, l’autorité publique, le service ou autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement. »

Il doit être distingué du sous-traitant qui traite des données pour le compte du responsable de traitement. 

 

De cette distinction découle l’existence de deux types de registre des traitements : 

- Celui du responsable du traitement, le registre des activités de traitement ;

- Celui des sous-traitants, également appelé registre du sous-traitant (bien qu’il ne s’agisse pas d’une appellation officielle). 

 

Ainsi, si un organisme agit à la fois en tant que responsable du traitement et de sous-traitant, devra tenir deux types de registres. 

 

Les traitements à faire apparaître dans le registre

 

En principe, le registre se doit de présenter l’intégralité des traitements de données personnelles dont l’entreprise est responsable. 

 

Un traitement peut être défini comme toute opération portant sur des données personnelles, quel que soit le procédé utilisé. Par exemple, il peut s’agir d’un enregistrement, d’une modification, d’une consultation, d’une utilisation, d’une extraction ou encore de la diffusion de données personnelles. Il faut noter que la suppression ou la destruction d’une donnée constitue également un traitement. 

 

Le contenu du registre

 

Le contenu du registre des traitements est dicté par le RGPD. 

Ce registre doit, en outre, inclure :

 

- les coordonnées du responsable ;

- le cas échéant, les coordonnées du responsable conjoint de traitement ;

- les finalités (objectifs) du traitement ;

- les catégories de personnes concernées ;

- les catégories de données personnelles ;

- les catégories de destinataires ;

- les transferts de données vers des pays tiers ;

- les délais d'effacement des données ;

- une description générale des mesures de sécurité techniques et organisationnelles.

 

Tout manquement à l’obligation de tenir un registre des traitements est passible d’une amende administrative pouvant d’élever jusqu’à 10 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 2% du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.