Le registre des activités de transformation : un incontournable pour les entreprises

Quoi?

En tant qu'entreprise, vous devez enregistrer en interne quelles données personnelles[1] (de clients, fournisseurs, employés, etc.) vous traitez[2]. Cette obligation légale de tenir le « registre des activités de traitement » (article 30 du règlement général sur la protection des données, ci-après : AVG) ne s'applique pas qu'exceptionnellement.[3]

Le «registre des activités de traitement» est un outil de contrôle pour l'Autorité de protection des données car il fournit une vue d'ensemble de toutes les opérations de traitement au sein de l'entreprise.

Le registre n'est pas public, mais peut être demandé par l'Autorité de protection des données pour inspection.

Former?

Le RGPD prévoit uniquement que le registre doit être tenu par écrit et également par voie électronique.

Un formulaire souvent utilisé en pratique est un simple fichier Excel. De plus, toutes sortes d'outils logiciels et de plateformes en ligne sont désormais disponibles.

Contenu?

Il s'agit d'un registre de activités de traitement. Le registre ne contient donc pas de données personnelles réelles, mais seulement un résumé des opérations de traitement (ou donc une description de l'utilisation des données personnelles).

Pour un contrôleur d'entreprise[4] le registre doit contenir au moins les informations suivantes :

  • le nom et les coordonnées de la ou des personnes responsables et du délégué à la protection des données au sein de l'entreprise (si vous en avez nommé un) ;
  • les finalités du traitement (par exemple pour la gestion des clients, la gestion des fournisseurs, la gestion du personnel, etc.) ;
  • les catégories de personnes concernées (dont les données sont traitées ?) et les données personnelles (par exemple les données d'identification, les données financières, les enregistrements d'images ou de sons, etc.) ;
  • les catégories de destinataires des données personnelles (à qui les données personnelles sont-elles transférées : partenaires commerciaux, autorités policières et judiciaires, etc. ?) ;
  • tout transfert de données personnelles vers un pays tiers (hors UE et EEE) ou une organisation internationale ;
  • durées de conservation (par finalité de traitement et en jours, mois, années ou paramètres - par exemple, le temps nécessaire pour atteindre la finalité prévue, l'expiration d'un délai de prescription, etc.) ;
  • description des mesures de sécurité techniques et organisationnelles prises pour protéger les données

Durée de conservation?

Le RGPD ne précise pas combien de temps une activité de traitement doit être conservée dans le registre après la fin du traitement concerné.

L'Autorité de protection des données recommande d'inscrire les activités de traitement qui sont interrompues dans le registre pendant encore cinq ans, car les contrôles par l'Autorité de protection des données sont toujours possibles pendant la période susmentionnée.

Compte tenu de ces circonstances, il convient de prévoir une colonne supplémentaire dans le registre indiquant les dates de début et de fin de chaque traitement.

Mettre à jour!

Le registre doit toujours être à jour, en ce sens qu'une nouvelle activité de traitement ou un changement dans les activités de traitement doit être enregistré.

Il est donc conseillé d'alerter les salariés au sein de l'entreprise sur le fait que lors du démarrage de nouveaux projets, de nouvelles activités de traitement peuvent également devoir être inscrites dans le registre et le responsable au sein de l'entreprise doit en être informé.

Sanction?

L'absence de registre des activités de traitement ou un registre incomplet peut être sanctionné d'une amende administrative pouvant aller jusqu'à 10 000 000 EUR ou jusqu'à 2% du chiffre d'affaires annuel mondial total de l'exercice précédent, selon le montant le plus élevé.

Si vous avez des questions sur la création ou la mise à jour de votre registre des activités de traitement, n'hésitez pas à nous contacter : elisah.vanhecke@vsadvocaten.be.


[1] Les données personnelles concernent toutes les informations concernant une personne physique identifiée ou identifiable (pas des personnes morales).
[2] Cela comprend la collecte, l'enregistrement, l'organisation, la structuration, le stockage, la mise à jour ou la modification, la récupération, la consultation, l'utilisation, la transmission, la diffusion ou la mise à disposition, l'alignement ou la combinaison, le blindage, la suppression ou la destruction des données personnelles.
[3] Les entreprises qui emploient moins de 250 salariés ne sont pas tenues de tenir un registre, sauf si: (i) le traitement est susceptible de présenter un risque pour les personnes concernées (dont les données personnelles sont traitées) ou (ii) le traitement concerne des données spéciales/sensibles (y compris des données de santé) ou (iii) le traitement n'est pas occasionnel (c'est-à-dire non occasionnelle, fortuite ou imprévue – par exemple le traitement de données personnelles lors de l'organisation d'un concours à l'occasion du trentième anniversaire de l'entreprise). Le (i) risque susmentionné, (ii) le traitement de données sensibles (telles que les données de santé des employés) et (iii) le traitement habituel des données personnelles (par exemple en tenant un fichier client, un fichier du personnel et/ou dans le cas de la gestion des fournisseurs ) sera presque toujours Cela signifie que la plupart des PME doivent également tenir un registre. Après tout, même dans un contexte B2B pur, les entreprises traitent les données personnelles des (personnes de contact) des clients et des fournisseurs.
[4] En tant qu'entreprise, vous êtes le responsable du traitement si vous objectif de et le ressources pour le traitement des données personnelles. En particulier, vous avez le pouvoir de décision en ce qui concerne le traitement.

fr_BEFR