QU’EST-CE QU’UN REGISTRE DE TRAITEMENTS ?
Véritable outil de pilotage de la conformité de son organisme, chaque responsable de traitement doit mettre en place un registre des activités de traitement effectuées sous sa responsabilité.
Il est également exigé de tenir un registre des catégories d’activités de traitement si le responsable de traitement réalise des activités mais en tant que sous-traitant cette fois.
Le registre de traitement n’est pas obligatoire pour les entreprises de moins de 250 salariés sauf si :
- Les traitements effectués sont susceptibles de comporter un risque pour les personnes concernées
- Les traitements effectués ne sont pas occasionnels
- Les traitements effectués portent sur des catégories particulières de données, dont les données de santé
Obligatoire ou non, il est recommandé d’en tenir un dans tous les cas : cela permet d’avoir une vision d’ensemble des traitements menés par l’organisme, et de mieux piloter sa conformité.
Présenté sous forme de fiches de registre pour chaque activité de traitement, le registre permet donc de documenter l’ensemble des traitements de données. Aucune forme précise n’est imposée par la règlementation, le tout est d’avoir un registre écrit (papier ou électronique) reprenant les mentions obligatoires, tel que prévu à l’article 30 du Règlement général sur la protection des données.
Bonne pratique : en cas de recours à un registre de traitement commun à plusieurs organismes, il faut veiller à bien identifier qui est le responsable de chaque traitement. La CNIL a récemment retenu un manquement à l’obligation de tenir un registre pour une société qui tenait un registre commun avec une société rachetée, au motif qu’il n’était pas possible d’identifier clairement les traitements effectués par l’une ou l’autre des sociétés.
- Article 30 Règlement général sur la protection des données – RGPD
- Modèle de registre de traitements de la CNIL
- Délibération SAN-2023-025 du 29 décembre 2023 concernant la société TAGADAMEDIA