Registre des activités de traitement Article 30 du RGPD : « Chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement, tiennent un registre des activités de traitement effectuées sous leur responsabilité. » Pour le registre, le responsable du traitement doit se poser 6 questions importantes (p. 2). Les réponses à ses différentes questions permettront d’établir le registre pour chaque traitement de données réalisé, et d’en assurer leur transparence. 11/04/2019
Rechercher la(es) finalité(s) principale(s) du traitement envisagé. Qui ? Nom et coordonnées du responsable du traitement et du DPO, des responsables des services opérationnels traitant des données, et le sous-traitant (s’il y a). Pourquoi ? Rechercher la(es) finalité(s) principale(s) du traitement envisagé. Quoi ? Identifier les catégories de données à traiter ainsi que les données susceptibles de soulever un risque* (données sensibles, infractions). * Détails p.3. Où ? Indiquer le lieu d’hébergement des données, ainsi que le pays dans lequel les données ont été éventuellement transférées. Combien de temps ? Il est impératif d’indiquer la durée de conservation des données (délais prévus pour leur effacement). Comment ? Le responsable du traitement indique les mesures de sécurité techniques et organisationnelles mises en œuvre. 11/04/2019
Registre des activités de traitement Cas obligatoires de l’étude d’impact Lorsque au moins deux des critères suivants sont réunis, le responsable du traitement doit procéder à une analyse d’impact : évaluation (scoring, profilage) ; prise de décision automatisée avec effet juridique ou similaire significatif ; surveillance systématique ; collecte de données sensibles ; croisement de données ; exclusion du bénéficiaire d’un droit ou d’un contrat ; collecte de données personnelles à large échelle ; données concernant des personnes vulnérables ; usage innovant (nouvelle technologie). 11/04/2019
Registre des activités de traitement Les mesures techniques et organisationnelles sont celles ayant été mises en œuvre pour minimiser les risques d’accès non autorisés aux données (impact sur la vie privée des personnes concernées). Ces mesures, tout comme les délais prévus pour l’effacement des données, doivent être indiquées dans le registre « dans la mesure du possible » (article 30 §1 f) et g) du RGPD). Chaque registre doit être mis à disposition de la CNIL, sur demande. Le sous-traitant tient lui aussi son propre registre. 11/04/2019