L’article 30 du RGPD prévoit que chaque responsable de traitement doit tenir un registre des activités qui recense l’ensemble des traitements effectuées sous sa responsabilité.
Les organismes doivent lister, de manière claire et transparente, l’ensemble des activités dans le cadre desquelles elles sont amenées à traiter des données personnelles dans un document qui permet une vue globale de la façon dont elle utilise ces données personnelles.
Tout organisme, public ou privé, qui traite les données personnelles de citoyens européens doit tenir un registre un registre des traitements effectués sous sa responsabilité.
Les sous-traitants de ces organismes sont également tenus de tenir un registre.
L’article 30, 5 du RGPD prévoit une exception : les entreprises qui emploient moins de 250 personnes et dont le traitement:
- ne comporte aucun risque pour les droits et libertés des personnes concernées ;
- ne porte sur aucune données sensibles ;
- ne porte sur aucune données judiciaires ; et
- est occasionnel.
Cette exception a une portée assez limitée.
En pratique, au sein des organismes soumis, une personne peut être spécifiquement chargée de tenir le registre. Il peut s’agir notamment du délégué à la protection des données.
Le registre doit préciser le nom et les coordonnées de votre organisme (ou son représentant si vous êtes établis en dehors de l’Union Européenne). Il doit également mentionner l’identité de votre délégué à la protection des données si vous en avez un.
Le registre contient différentes fiches. Une fiche sera consacrée à chaque activité dans le cadre desquelles vous êtes amenés à traiter des données personnelles.
Exemple de fiches : commandes de clients, gestion des réclamations des clients, newsletter, gestion de la paie des employés, etc.
- les catégories de données personnelles traitées
- les catégories de personnes concernées
- les finalités du traitement
- les catégories de destinataires auxquels ces données sont communiquées ainsi que les sous-traitants auxquels vous faites appel
- si applicable, les transferts de ces données vers des pays hors UE
- la durée de conservation de ces données
- la description des mesures de sécurité que vous mettez en œuvre
Attention, dans certains domaines précis, certaines mentions complémentaires sont nécessaires. Par exemple, si vous utilisez des caméras de surveillance.
Le registre doit refléter la réalité des traitement appliqués par votre organisme. Il doit donc être régulièrement mis à jour.
Toute modification aux conditions de mise en œuvre de chaque traitement inscrit dans le registre doit être reflétée dans celui-ci.
Le registre doit contenir toutes les activités de traitement existant à la date du 25 mai 2018 et celles créées depuis.
Le registre doit également contenir les activités de traitement qui ont cessé pendant au moins cinq ans après la cessation du traitement. L’action de l’Autorité de Protection des Données belge se prescrit en effet par cinq ans.
Le registre est un outil interne. Il n’est pas destiné aux personnes dont les données personnelles sont traitées, ni au public.
Il doit cependant pouvoir être mis à première demande à disposition de l’Autorité de Protection des Données belge en cas de contrôle.
