Registres de traitement
Home » RGPD » Principaux outils et actions » Documentation du traitement des données personnelles » Registres de traitement

Les registres de traitement peuvent être conservés sous forme écrite ou électronique[1] . Attendez-vous donc à devoir remplir un formulaire propre à votre organisation ou à saisir vos informations dans un système de gestion (de la protection des données).

Pour donner une première idée, le contenu minimal des registres de traitement pour les responsables du traitement comprend les éléments suivants[2] :

  • le nom et les coordonnées du responsable du traitement, du représentant du responsable du traitement et du délégué à la protection des données ;
  • les finalités du traitement ;
  • une description des catégories de personnes concernées et des catégories de données à caractère personnel ;
  • les catégories de destinataires auxquels les données personnelles ont été ou seront divulguées ;
  • le cas échéant, les transferts de données à caractère personnel vers un pays tiers (voir “Transfert de données vers des pays tiers” dans la partie II, section “Principaux outils et actions” des présentes lignes directrices) ainsi que la documentation des garanties appropriées ;
  • si possible, les délais envisagés pour l’effacement des différentes catégories de données (voir “Limitation du stockage” dans la partie II, section “Principes” des présentes lignes directrices) ;
  • si possible, une description générale des mesures de sécurité techniques et organisationnelles (voir “Intégrité et confidentialité” dans la partie II, section “Principes” des présentes lignes directrices).

Votre organisation peut utiliser un ensemble différent d’éléments car, d’une part, elle est déjà en possession de certaines de ces informations (comme le premier point), et d’autre part, elle peut avoir besoin d’informations supplémentaires (comme le contact de la personne responsable de l’activité de traitement unique en question). Il est possible que la tenue de registres exigée par la loi soit combinée avec les besoins de gestion de l’organisation, tels qu’un inventaire interne des ressources informatiques et de calcul.

Votre organisation peut également utiliser plusieurs systèmes, par exemple selon qu’elle agit en tant que responsable du traitement ou en tant que sous-traitant ; ou en faisant la distinction entre les activités permanentes de traitement des données (comme les systèmes de communication et la comptabilité) et les activités temporaires (comme celles liées à des projets ou des missions temporaires). La création et la conservation d’enregistrements dans plusieurs systèmes ne sont pas interdites par le RGPD.

Si vous avez des difficultés à fournir les informations demandées, votre responsable de la protection des données (si votre organisation en a un) peut vous aider.

Liste de contrôle (registres de traitement)

  • Contactez le bureau/la personne qui tient les registres de traitement pour votre organisation.
    • Si nécessaire, votre délégué à la protection des données peut vous aider à établir le contact.
  • Informez-les dès le début que vous avez l’intention de traiter des données à caractère personnel.
    • Votre activité de traitement doit être inscrite dans les registres avant le début du traitement.
  • Suivez leurs instructions concernant
    • les informations que vous devez fournir pour les registres de traitement,
    • à quel moment vous devez envoyer des mises à jour de ces informations.

 

  1. Voir art. 30(3) du RGPD.
  2. Voir art. 30(1) du RGPD pour plus de détails.

 

Aller au contenu principal