Lexique > Registre des activités de traitement

Lexique IT

Registre des activités de traitement

Le registre des activités de traitement de données à caractère personnel participe à la documentation de la conformité des responsables de traitements et des sous-traitants, notamment au titre de leur accountability.

Il permet de recenser les traitements des données à caractère personnel mis en œuvre par l’organisme et ainsi de disposer d’une vue d’ensemble de ces derniers.

Chaque responsable de traitement doit établir et maintenir à jour un registre des activités de traitement comportant a minima les informations suivantes :

  • Le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données ;
  • Si possible, les délais prévus pour l’effacement des différentes catégories de données ;
  • Si possible, une description générale des mesures de sécurité techniques et organisationnelles.

Les sous-traitants doivent, quant à eux, établir et maintenir à jour un registre distinct des activités de traitement comportant a minima les informations suivantes :

  • Les catégories de traitements effectués pour le compte de chaque responsable du traitement ;
  • Si possible, une description générale des mesures de sécurité techniques et organisationnelles.

Les organismes de moins de 250 salariés peuvent inscrire dans leur registre des activités de traitement uniquement les traitements qui sont susceptibles de comporter un risque pour les droits et des libertés des personnes concernées, s’ils ne sont pas occasionnels ou s’ils portent notamment sur des catégories particulières de données.

En pratique, cette dérogation est donc particulièrement limitée et il est donc ainsi recommandé de documenter l’ensemble des traitements mis en œuvre indépendamment de cette dérogation.

Point RGPD

« Afin de démontrer qu’il respecte le présent règlement, le responsable du traitement ou le sous-traitant devrait tenir des registres pour les activités de traitement relevant de sa responsabilité. Chaque responsable du traitement et sous-traitant devrait être tenu de coopérer avec l’autorité de contrôle et de mettre ces registres à la disposition de celle-ci, sur demande, pour qu’ils servent au contrôle des opérations de traitement. »

Considérant 82 du RGPD

Point jurisprudence

L’autorité de contrôle belge considère que « ce registre des activités de traitement est un outil essentiel de l’accountability, soit du principe de responsabilité du responsable de traitement déjà mentionné (articles 5.2. et 24 du RGPD) (ainsi que, de manière indirecte du sous-traitant9) et qui est sous-jacent à l’ensemble des obligations mises à sa charge par le RGPD.

En effet, pour pouvoir appliquer effectivement les règles en matière de protection des données contenues dans le RGPD et les obligations mises à leur charge, il est indispensable que les responsables de traitement (et les sous-traitants) identifient et disposent d’une vue d’ensemble des traitements de données personnelles qu’ils opèrent. Ce registre est donc d’abord un outil destiné à aider les responsables de traitement (et les sous-traitants) à se conformer au RGPD en visualisant les différents traitements de données qu’ils réalisent et leurs caractéristiques principales ». 

Autorité de protection des données, 20 avril 2020, N°16/2020

Le Cabinet Bouchara vous accompagne notamment dans :

  • La mise en conformité de votre organisme au RGPD ;
  • La rédaction de politiques de protection des données (politique de confidentialité, charte informatique…) ;
  • La documentation de vos traitements (registre des activités de traitement, registre des violations, analyse d’impact relative à la vie privée, consultation préalable…) ;
  • L’obtention de certifications et l’adhésion à des codes de conduite ;
  • L’étude de la faisabilité juridique de la mise en œuvre d’un nouveau traitement de données à caractère personnel ;
  • La rédaction et transmission de vos codes de conduites à la CNIL pour approbation ;
  • L’analyse juridique de la conformité de vos traitements de données, y compris des transferts de données hors de l’Espace Economique Européen ;
  • La rédaction et la négociation de vos accords de traitements de données (DPA) ;
  • La rédaction de vos règles d’entreprises contraignantes (BCR) et codes de conduites ;
  • La formation et la sensibilisation de vos collaborateurs.

Nous sommes également Délégué à la Protection des Données externe de nombreux responsables de traitements et sous-traitants.