Registre de traitement des données

Le Registre de traitement est un document destiné à recenser les activités et les analyses de l’utilisation des données personnelles dans le cadre d’un traitement de données visé par le RGPD. Ce document est élaboré en interne au sein de l’entreprise (qu’il s’agisse du responsable de traitement ou du sous-traitant).

Contexte juridique

Lois en vigueur	RGPD (Règlement Général pour La Protection des Données)
Information minimale	Pour chaque traitement de données opéré, le Registre du responsable du traitement devra contenir des informations spécifiques (article 30.1 du RGPD). Qui traite les données Inscrivez le nom et les coordonnées du responsable du traitement (et le cas échéant ajoutez celles du représentant) et du délégué à la protection des données si vous devez en désigner un ou si vous avez fait le choix d’en nommer un. Établissez également la liste de vos sous-traitants. Description des données traitées Identifiez les catégories de données traitées ainsi que les catégories de personnes concernées. Dans ce cadre, il peut être utile d’identifier de manière distincte les catégories particulières de données (art. 9 RGPD) et les données judiciaires (art. 10 RGPD). Description du but dans lequel les données sont traitées Identifiez les finalités pour lesquelles les données sont traitées. La description de la finalité doit être la plus précise possible. Préciser si les données sont communiquées à des tiers et/ou à l’extérieur de l’espace économique européen Indiquez les catégories de destinataires (en ce compris s’ils sont établis dans des pays tiers) auxquels les données sont transférées. Ajoutez les transferts vers un pays tiers ou une organisation internationale, y compris l’identification du pays et le cas échéant (art. 49.1. alinéa 2) les garanties appropriées existantes. Délai de conservation des données Indiquez pour chaque catégorie de données la durée de conservation. La durée de conservation ne doit pas nécessairement comprendre une durée en jours, mois, années mais peut également faire référence au temps nécessaire à la réalisation d’un projet concret. Description des mesures techniques et organisationnelles Décrivez de manière générale quelles mesures de sécurité techniques et organisationnelles sont introduites pour garantir un niveau de sécurité adapté au risque. Le contenu du Registre du sous-traitant est très légèrement différent de celui du responsable de traitement (article 30.2. du RGPD).
Dispositions impératives	Oui
Objectif poursuivi / Partie protégée	L’article 30 du RGPD impose à chaque responsable de traitement de tenir un registre des activités de traitement effectuées sous sa responsabilité. Cette obligation a pour but de faciliter la vérification de la conformité avec le RGPD par l’entreprise qui traite de données personnelles. L’autorité de protection des données recommande de voir le registre comme un outil interne d’aide à la mise en conformité avec le RGPD. En complément des informations obligatoires, le registre peut dès lors contenir toute information complémentaire que le responsable de traitement et le sous-traitant jugeront utiles d’y faire figurer en fonction de leurs activités. Par exemple, la mention de la base légale du traitement, le relevé de toutes les violations de données à caractère personnel (art. 33.5 du RGPD).

Contexte factuel

Lorsque ce document est établi	Avant le début de tout traitement. Il y a lieu de le mettre à jour en fonction de l’évolution du traitement.
Obligations liées	Dois-je protéger mon idée ? Qui est responsable du traitement des données personnelles ?