Article 30 : Registre des activités de traitement

Sommaire :

Comprendre l’article 30

Le registre des activités de traitement est une obligation qui incombe au responsable de traitement et/ou au sous-traitant de tenir un rapport des traitements effectués.  Cette obligation concerne : 

  • les entreprises de + de 250 salariés 
  • les entreprises qui effectuent des traitements pouvant comporter des risques pour les droits et libertés des personnes concernées 
  • les entreprises qui effectuent un traitement régulier 
  • les entreprises qui effectuent un traitement portant sur des données sensibles / relatives à des condamnations pénales ou des infractions (articles 9 et 10) 

Le registre des activités de traitement doit obligatoirement mentionner les informations suivantes : 

  • nom et coordonnées du responsable du traitement, ou à défaut du responsable conjoint du traitement ou du représentant du responsable de traitement  
  • nom et coordonnées du délégué à la protection des données (si il y en a un)
  • les finalités du traitement 
  • les catégories de personnes concernées et les catégories des données traitées
  • les catégories des destinataires des données 
  • si possible, les délais prévus pour l’effacement des différentes catégories de données 
  • si possible, les mesures de sécurité technique et organisationnelles mises en place

Ce registre est tenu par le responsable de traitement concernant le traitement dont il est responsable. 

Le sous-traitant (ou son représentant) est également chargé de tenir un registre des activités de traitement effectuées pour le compte du responsable de traitement. Ce registre doit mentionner :

  • nom et coordonnées du ou des sous-traitant et du responsable de traitement (ou leurs représentants) et celle du DPO (si il y en un) 
  • les catégories de traitements effectués 
  • si possible, une description des mesures de sécurité techniques et organisationnelles

Ces registres doivent être écrits même électroniquement. Ils doivent pouvoir être soumis aux autorités de contrôle si celles-ci en font la demande. 

Cet article peut vous intéresser : DPO Externe

Trouver un DPO
Vous êtes à la recherche d'un "Data protection officer" ?

Article 30 du RGPD

  1. « Chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement tiennent un registre des activités de traitement effectuées sous leur responsabilité. Ce registre comporte toutes les informations suivantes:

     

    a) le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données;

     

    b) les finalités du traitement;

     

    c) une description des catégories de personnes concernées et des catégories de données à caractère personnel;

     

    d) les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales;

     

    e) le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa, les documents attestant de l’existence de garanties appropriées;

     

    f) dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données;

     

    g) dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l’article 32, paragraphe 1.

     

  2. Chaque sous-traitant et, le cas échéant, le représentant du sous-traitant tiennent un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable du traitement, comprenant:

     

    a) le nom et les coordonnées du ou des sous-traitants et de chaque responsable du traitement pour le compte duquel le sous-traitant agit ainsi que, le cas échéant, les noms et les coordonnées du représentant du responsable du traitement ou du sous-traitant et celles du délégué à la protection des données;

     

    b) les catégories de traitements effectués pour le compte de chaque responsable du traitement;

     

    c) le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa, les documents attestant de l’existence de garanties appropriées;

     

    d) dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l’article 32, paragraphe 1.

     

  3. Les registres visés aux paragraphes 1 et 2 se présentent sous une forme écrite y compris la forme électronique.

     

  4. Le responsable du traitement ou le sous-traitant et, le cas échéant, leur représentant mettent le registre à la disposition de l’autorité de contrôle sur demande.

     

  5. Les obligations visées aux paragraphes 1 et 2 ne s’appliquent pas à une entreprise ou à une organisation comptant moins de 250 employés, sauf si le traitement qu’elles effectuent est susceptible de comporter un risque pour les droits et des libertés des personnes concernées, s’il n’est pas occasionnel ou s’il porte notamment sur les catégories particulières de données visées à l’article 9, paragraphe 1, ou sur des données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10.»

Jurisprudence

Sanction : 3000€ d’amende pour la SNAF 

Dans une décision du 15 septembre 2021, condamnant la Société Nouvelle de l’Annuaire Français à une amende de 3000€, la CNIL relève plusieurs manquements et violations au RGPD. En effet, suite à la réception de plusieurs plaintes et signalements, la CNIL effectue un contrôle et constate que la SNAF ne dispose pas de registre de traitement à lui présenter, alors qu’au regard de son activité, elle était amenée à traiter régulièrement des données personnelles. Délibération SAN-2021-014 du 15 septembre 2021 – Légifrance 

Inscrivez-vous à notre newsletter RGPD

👉  Restez informé et soyez averti dès la publication de nouveaux articles.

FAQ : Divorce, droit de la famille

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.

Il n’est pas toujours simple de s’y retrouver dans la jungle des professions juridiques. Conscient de ce problème, nous avons créé Monexpertdudroit.com pour vous aider à trouver professionnel du droit dont vous avez besoin.

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.