Se connecter  Chercher   Home   Contact

FR

Le registre des activités de traitement

Le Règlement Général de Protection des données (RGPD), en vigueur à partir du 25 mai 2018, impose que chaque responsable de traitement et chaque sous-traitant (qui traite des données à caractère personnel pour le compte du responsable de traitement Ex : IT provider, call center externe, agence, …) tienne un « registre des activités de traitement ».

Cette obligation vous incombe, que vous soyez une personne morale (quelle que soit votre forme juridique, SPRL, SA, ASBL, fondation,…) ou physique.

marketing & privacy

 

 

Ce registre constitue en quelque sorte une cartographie des traitements de données que vous réalisez. Il reprend notamment des informations sur les catégories de données traitées, leurs destinataires, la sécurité mise en œuvre,… Aux dires de la Commission pour la Protection de la Vie Privée, il sert à « responsabiliser les responsables du traitement et sous-traitants » face à leurs obligations dans le RGPD.

 

Ce registre est un document évolutif puisqu’il doit correspondre aux traitements réellement effectués mais on peut considérer qu’il sera sans doute plus « statique » dans le cas du responsable du traitement que dans le cas du sous-traitant.

 

En effet, le responsable du traitement doit y enregistrer les informations suivantes :

  • Son identité et éventuellement celle de son Data Protection Officer ;
  • Les finalités de traitement ;
  • Les catégories de destinataires des données personnelles ;
  • Si le destinataire est situé en dehors de l’Union Européenne, l’identification du pays concerné et les mesures prises pour protéger les données dans le cadre de ce transfert ;
  • Les durées de conservation des données ;
  • Une description générale des mesures de sécurité prises pour protéger les données.

 

Dans le cas du sous-traitant, le registre reprendra les mêmes informations suivantes :

  • L’identité du sous-traitant et éventuellement de son Data Protection Officer ;
  • Une description générale des mesures de sécurité ;
  • Les catégories de destinataires des données personnelles ;
  • Si le destinataire est situé en dehors de l’Union Européenne, l’identification du pays concerné et les mesures prises pour protéger les données dans le cadre de ce transfert.

 

Par contre, sa réalisation sera sans doute plus complexe pour l’enregistrement des informations suivantes :

  • L’identité de chacun de ses clients, responsable de traitement ainsi qu’éventuellement l’identité de leur Data Protection Officer ;
  • Les catégories de traitements effectuées pour chacun de ces clients.

 

En effet, si le « core business » du sous-traitant est de traiter les données personnelles de ses clients, il devra sans doute mettre en place un système automatisé – plus complexe - enregistrant pour chaque commande toutes ces informations.

 

Ce registre est un document interne à votre entreprise. Il doit être communiqué à la Commission pour la Protection de la Vie Privée sur demande. Sa forme est libre. Il en existe toutefois des modèles disponibles sur le site de la Commission Vie privée https://www.privacycommission.be/fr/canevas-de-registre-des-activites-de-traitement et sur le site de la CNIL https://www.cnil.fr/fr/cartographier-vos-traitements-de-donnees-personnelles

  

En savoir plus?

Suivez nos workshops sur le GDPR:

Ou découvrez nos Experthub Data et/ou l' Experthub Legal. envoyez-nous un email vers info@marketing.be si vous êtes intéressés!

 

 

Téléchargez l'infographie sur la GDPR