Skip to content
Retour

Le registre de traitement

QU’EST-CE QU’UN REGISTRE DE TRAITEMENTS ?

Véritable outil de pilotage de la conformité de son organisme, chaque responsable de traitement doit mettre en place un registre des activités de traitement effectuées sous sa responsabilité.
Il est également exigé de tenir un registre des catégories d’activités de traitement si le responsable de traitement réalise des activités mais en tant que sous-traitant cette fois.

Le registre de traitement n’est pas obligatoire pour les entreprises de moins de 250 salariés sauf si :

  • Les traitements effectués sont susceptibles de comporter un risque pour les personnes concernées
  • Les traitements effectués ne sont pas occasionnels
  • Les traitements effectués portent sur des catégories particulières de données, dont les données de santé

Obligatoire ou non, il est recommandé d’en tenir un dans tous les cas : cela permet d’avoir une vision d’ensemble des traitements menés par l’organisme, et de mieux piloter sa conformité.
A noter que les traitements non occasionnels recouvrent des cas très particuliers : il doit s’agir de traitements non routiniers, qui interviennent de manière épisodique, de façon très limitée.  

Bonne pratique : en cas de recours à un registre de traitement commun à plusieurs organismes, il faut veiller à bien identifier qui est le responsable de chaque traitement. La CNIL a récemment retenu un manquement à l’obligation de tenir un registre pour une société qui tenait un registre commun avec une société rachetée, au motif qu’il n’était pas possible d’identifier clairement les traitements effectués par l’une ou l’autre des sociétés.

Présenté sous forme de fiches de registre pour chaque activité de traitement, le registre permet donc de documenter l’ensemble des traitements de données. Aucune forme précise n’est imposée par la règlementation, le tout est d’avoir un registre écrit (papier ou électronique) reprenant les mentions obligatoires, telles que prévues à l’article 30 du Règlement général sur la protection des données.  

Le nom et les coordonnées du responsable du traitement, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données :

  1. Les finalités du traitement 
  2. Une description des catégories de personnes concernées et des catégories de données à caractère personnel 
  3. Les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales 
  4. Le cas échéant, les transferts de données à caractère personnel vers un pays tiers le cas échéant les documents attestant de l’existence de garanties appropriées 
  5. Dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données 
  6. Une description générale des mesures de sécurité techniques et organisationnelles mises en place
  • Article 30 Règlement général sur la protection des données – RGPD
  • Modèle de registre de traitements de la CNIL
  • Délibération SAN-2023-025 du 29 décembre 2023 concernant la société TAGADAMEDIA

CGA | Politique de confidentialité

Contactez-nous...

Ce formulaire de contact est uniquement disponible pour les comptes enregistrés.

Contactez-nous




    La gestion de vos données et vos droits par Le Coin du DPO

    Recevez nos actualités

    Abonnez-vous à notre newsletter

    Nous utilisons des cookies pour vous garantir la meilleure expérience sur notre site. En savoir plus.