Registre de traitement des données pour DPO - RGPD

Registre format A4 en dos carré piqué de 44 pages réservé aux délégués à la protection des données et aux responsables de traitement.

A quoi sert ce registre ?

Dans le cadre du Règlement Général sur la Protection des Données (aussi appelé RGPD ou GPDR), ce registre permet à votre responsable de traitement / DPO de consigner l'ensemble des traitements effectués sur les données personnelles / données clients traitées par votre entreprise.

A quel moment remplir ce registre ?

Ce registre est conçu pour être rempli dès lors que votre société manipule des données personnelles telles que définies par le règlement. C'est à dire lors de chaque traitement par des entreprises comprenant plus de 250 personnes ; et par toute entreprise effectuant un traitement  susceptible de comporter un risque pour les personnes concernées, et si il porte sur les données sensibles telles que définies dans l'article 9 du Règlement Général sur la Protection des Données :

• l'origine raciale ou ethnique
• les opinions politiques
• les convictions religieuses ou philosophiques
• l'appartenance syndicale
• les données génétiques
• les données biométriques aux fins d'identifier une personne physique de manière unique
• des données concernant la santé
• des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique

Que dit la loi ?

Extrait de l'article 30 paragraphe 1

Chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement tiennent un registre des activités de traitement effectuées sous leur responsabilité. Ce registre comporte toutes les informations suivantes:

• a) le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données; ,
• b) les finalités du traitement;
• c) une description des catégories de personnes concernées et des catégories de données à caractère personnel;
• d) les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales; ,
• e) le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l'article 49, paragraphe 1, deuxième alinéa, les documents attestant de l'existence de garanties appropriées; ,
• f) dans la mesure du possible, les délais prévus pour l'effacement des différentes catégories de données;
• g) dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l'article 32, paragraphe 1.

Extrait de l'article 30 paragraphe 4

Le responsable du traitement ou le sous-traitant et, le cas échéant, leur représentant mettent le registre à la disposition de l'autorité de contrôle sur demande.

Extrait de l'article 30 paragraphe 5

Les obligations visées aux paragraphes 1 et 2 ne s'appliquent pas à une entreprise ou à une organisation comptant moins de 250 employés, sauf si le traitement qu'elles effectuent est susceptible de comporter un risque pour les droits et des libertés des personnes concernées, s'il n'est pas occasionnel ou s'il porte notamment sur les catégories particulières de données visées à l'article 9, paragraphe 1, ou sur des données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article 10.