Aux termes de l’article 30 du RGPD, « chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement tiennent un registre des activités de traitement effectuées sous leur responsabilité ». L’outil logiciel Registre des activités de traitement

permet de répondre à cette obligation.

L’outil logiciel Registre des activités de traitement permet en effet de documenter la conformité Informatique et libertés et de mesurer l’impact du RGPD sur la protection des données collectées et traitées.

En vertu du RGPD, la charge de la preuve du consentement incombe désormais au responsable de traitement.

RGPD: documenter la conformité

Celui-ci doit tenir une documentation interne complète des traitements de données à caractère personnel.

Le responsable de traitement doit en effet à tout moment pouvoir démontrer que la personne concernée a consenti à la collecte et au traitement de ses données par un acte positif clair.

C’est pour qu’il doit « documenter » les traitements de données à caractère personnel en tenant une documentation interne complète de ceux-ci, notamment par le biais d’un registre des traitements.

L’outil Registre des activités de traitement

Les entités ont l’obligation de tenir un registre, ou, à tout le moins de garantir le respect du droit des données personnelles :

• entreprise de 250 salariés ou plus : obligation de tenir un registre  ;
• entreprise de moins de 250 salariés : obligation de tenir un registre si :
  • le traitement est susceptible de comporter un risque pour les droits et libertés des personnes concernées ;
  • le traitement n’est pas occasionnel ;
  • le traitement effectué porte sur des « données sensibles » ;
  • le traitement effectué porte sur des données judiciaires et des données d’infractions.

Le Registre de traitement est un document de recensement et d’analyse reflétant la réalité des traitements de données personnelles et permettant d’identifier précisément :

• les parties prenantes qui interviennent dans le traitement des données ;
• les catégories de données traitées ;
• à quoi servent ces données
• qui accède aux données
• à qui sont-elles  communiquées ;
• combien de temps elles sont conservées ;
• comment elles sont sécurisées.

Pour y répondre, il doit donc comporter:

• le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable
conjoint du traitement, du représentant du responsable du traitement ;
• les finalités du traitement ;
• le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une
organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation
internationale et les documents attestant de l’existence de garanties appropriées ;
• une description des catégories de données traitées, ainsi que les catégories de personnes
concernées par le traitement ;
• dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories
de données ;
• dans la mesure du possible, une description générale des mesures de sécurité techniques et
organisationnelles mises en œuvre.

Le registre des traitement, un outil de pilotage de la conformité

Au-delà de la réponse à l’obligation prévue par l’article 30 du RGPD, le registre de traitement est un outil de pilotage et de démonstration de la conformité au RGPD qui permet de documenter les traitements de données dans le cadre des obligations d’accountability qu’impose le RGPD et de se poser les bonnes questions.

La tenue d’un registre est donc vivement conseillée pour ceux qui n’y seraient pas obligés

(c) Photo: Freepik Concept européen GDPR avec un design plat