données personnelles
La tenue d’un registre de traitements est-elle obligatoire ?
> La règle
Depuis mai 2018 et l’entrée en vigueur du RGPD, si vous êtes responsable de traitement ou sous-traitant, vous avez l’obligation de tenir un registre des activités de traitement. Le registre doit notamment contenir :
- le nom et les coordonnées du responsable de traitement et du sous-traitant,
- les finalités de traitement et les catégories de traitement selon que vous avez la qualité de responsable de traitement ou de sous-traitant,
- les mesures de sécurité techniques et organisationnelles prises,
- les éventuels transferts de données personnelles effectués …
Lorsque vous êtes sous-traitant, vous devez tenir un registre de traitement pour vos propres traitements mais également pour chacun des traitements de vos clients.
> L'exception
Si votre entreprise ou organisation compte moins de 250 salariés, vous êtes exonéré de cette obligation de tenir un registre des activités de traitement sauf dans l’un des cas suivants :
- le traitement est susceptible de présenter un risque pour les droits des personnes concernées (discrimination, atteinte à la réputation, etc.),
- le traitement est non-occasionnel (ce cas est en pratique susceptible de recouvrir beaucoup d’hypothèses),
- le traitement porte sur des données sensibles ou relatives à des condamnations pénales et infractions.
D’autres questions ? Voyez aussi…