Qu'est-ce qu'un registre des activités de traitement?

Łukasz Bonczol
18 août 2022
Les dispositions du RGPD imposent aux responsables du traitement des données personnelles l'obligation de tenir un registre des activités de traitement. Il s'agit d'une documentation qui comprend une liste des activités utilisées par une organisation pour traiter des données à caractère personnel. Que doit contenir un tel registre et qui est tenu de le tenir ?

Qu'est-ce qu'une activité de traitement? Qui a besoin d'un registre des activités de traitement?

Le RGPD ne précise pas le terme "activité de traitement", de sorte que ce qui doit être documenté dans le registre n'est pas tout à fait clair. On peut considérer qu'il s'agit d'un ensemble d'étapes permettant d'atteindre un objectif spécifique au sein de l'entreprise. Le type d'activités et leur niveau de détail dépendent largement du secteur d'activité et du profil de l'organisation.

Les exemples d'activités de traitement comprennent, sans s'y limiter, les activités suivantes:

  • L'utilisation d'un logiciel qui collecte et stocke des données à caractère personnel (par exemple, un système d'enregistrement du temps de travail, des cartes d'accès électroniques ou la vidéosurveillance)
  • Le recrutement des employés
  • La gestion de la formation
  • La comptabilité des salaires
  • L'envoi de bulletins d'information aux clients

En ce qui concerne ce type d'activité, le responsable du traitement des données à caractère personnel doit inclure dans le registre des informations telles que:

  • Le nom et les coordonnées de l'administrateur et de l'inspecteur des données personnelles
  • Les finalités du traitement des données à caractère personnel
  • La description des catégories de personnes concernées par les données à caractère personnel
  • Les catégories de destinataires avec lesquels les données sont partagées
  • Informations éventuelles sur le transfert de données vers un pays tiers ou une organisation internationale
  • Dates prévues pour la suppression des catégories de données à caractère personnel
  • Description des mesures de sécurité appliquées aux données à caractère personnel traitées

Bien que le registre des activités de traitement soit un document interne, il doit être conservé par toute organisation comptant au moins 250 employés. Les entreprises plus petites peuvent également être tenues de le faire, à condition que:

  • Le traitement des données à caractère personnel dont l'organisation est responsable peut constituer une menace pour les droits et libertés des personnes concernées
  • Le traitement des données par l'organisation est permanent et non occasionnel,
  • L'organisation traite des catégories particulières de données à caractère personnel (par exemple, des données relatives à des infractions pénales ou à des dossiers médicaux)

Vous devez également vous rappeler que le registre des activités de traitement doit inclure toutes les images et vidéos où l'on peut voir les visages de personnes se trouvant dans votre entreprise ou à proximité (par exemple, dans le cadre de la vidéosurveillance). Avec Gallio, vous pouvez rapidement anonymiser n'importe quel fichier vidéo sans avoir à partager des données avec des tiers ou à les télécharger en ligne. De plus, le processus n'affecte pas la qualité de vos fichiers vidéo et offre une précision de 98%.

En résumé, l'enregistrement des activités de traitement est l'un des éléments de base de la sécurisation des données à caractère personnel dans une organisation. Il vous permet de gérer de manière pratique et efficace vos obligations au titre du RGPD. Il facilite également la vérification continue des processus impliquant des données à caractère personnel dans votre entreprise - à la fois en termes juridiques et commerciaux.