Expert du droit > RGPD > Article 30 du RGPD : Registre des activités de traitement
Article 30 du RGPD : Registre des activités de traitement
Sommaire :
Comprendre l’article 30
Un traitement est une opération réalisée sur des données personnelles (collecte, stockage, utilisation, manipulation d’informations qui identifient une personne).
Toute utilisation de ces données doit être documentée dans un registre de traitement, tenu par le responsable de ces traitements (la personne chargée de prendre toutes les décisions concernant un traitement de données : comment les données sont utilisées, pour quel objectif, quelles données…; il peut être une entreprise ou son dirigeant, ou le dirigeant d’un service spécifique).
Il peut être effectué manuellement ou à l’aide de logiciels de gestion de conformité.
Cette obligation prévue par le RGPD concerne :
- les entreprises de + de 250 salariés
- les entreprises qui effectuent des traitements pouvant comporter des risques pour les droits et libertés des personnes concernées
- les entreprises qui effectuent un traitement régulier
- les entreprises qui effectuent un traitement portant sur des données sensibles / relatives à des condamnations pénales ou des infractions (articles 9 et 10)
Le registre doit obligatoirement mentionner les informations suivantes :
- nom et coordonnées du responsable du traitement, ou à défaut du responsable conjoint du traitement ou du représentant du responsable de traitement
- nom et coordonnées du délégué à la protection des données (si il y en a un)
- les finalités du traitement
- les catégories de personnes concernées et les catégories des données traitées
- les catégories des destinataires des données
- si possible, les délais prévus pour l’effacement des différentes catégories de données
- si possible, les mesures de sécurité technique et organisationnelles mises en place
Le registre doit être tenu par le responsable du traitement concerné.
Le sous-traitant (ou son représentant) est également chargé de tenir un registre des activités de traitement effectuées pour le compte du responsable de traitement. Ce registre doit mentionner :
- nom et coordonnées du ou des sous-traitant et du responsable de traitement (ou leurs représentants) et celle du DPO (si il y en un)
- les catégories de traitements effectués
- si possible, une description des mesures de sécurité techniques et organisationnelles
Ces registres doivent être écrits même électroniquement. Ils doivent pouvoir être soumis aux autorités de contrôle si celles-ci en font la demande.
Un DPO peut être utile pour vous aider à mettre en place certaines de ces mesures. Pour en savoir +, consultez notre article : Comment trouver son DPO ?
Article 30 du RGPD
- « Chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement tiennent un registre des activités de traitement effectuées sous leur responsabilité. Ce registre comporte toutes les informations suivantes:
- Chaque sous-traitant et, le cas échéant, le représentant du sous-traitant tiennent un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable du traitement, comprenant:
- Les registres visés aux paragraphes 1 et 2 se présentent sous une forme écrite y compris la forme électronique.
- Le responsable du traitement ou le sous-traitant et, le cas échéant, leur représentant mettent le registre à la disposition de l’autorité de contrôle sur demande.
- Les obligations visées aux paragraphes 1 et 2 ne s’appliquent pas à une entreprise ou à une organisation comptant moins de 250 employés, sauf si le traitement qu’elles effectuent est susceptible de comporter un risque pour les droits et des libertés des personnes concernées, s’il n’est pas occasionnel ou s’il porte notamment sur les catégories particulières de données visées à l’article 9, paragraphe 1, ou sur des données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10.»
Jurisprudence
Sanction : 3000€ d’amende pour la SNAF
Dans une décision du 15 septembre 2021, condamnant la Société Nouvelle de l’Annuaire Français à une amende de 3000€, la CNIL relève plusieurs manquements et violations au RGPD. En effet, suite à la réception de plusieurs plaintes et signalements, la CNIL effectue un contrôle et constate que la SNAF ne dispose pas de registre de traitement à lui présenter, alors qu’au regard de son activité, elle était amenée à traiter régulièrement des données personnelles. Délibération SAN-2021-014 du 15 septembre 2021 – Légifrance
👉 Restez informé et soyez averti dès la publication de nouveaux articles.
Comment pouvons-nous vous aider ?
FAQ : Divorce, droit de la famille
Cette procédure peut conduire à des condamnations sous astreinte et des amendes allant jusqu’à 20 000 000 € ou 4% du chiffre d’affaires annuel, avec le montant le plus élevé retenu. En outre, la CNIL peut décider de rendre la décision publique ce qui peut être dévastateur.
Cette procédure réservée aux cas peu complexes, mais qui peut être prononcée par un seul membre de la CNIL désigné à cet effet, peut amener à des sanctions de mise en conformité sous astreinte et une amende maximale de 20 000 €