Registre "Responsable de traitement"

Apprenez à utiliser le registre "Responsable de traitement" de Dastra.

Introduction

L’article 30 du RGPD prévoit des obligations spécifiques pour le registre du responsable de traitement de données personnelles et pour le registre du sous-traitant. Si votre organisme agit à la fois en tant que sous-traitant et responsable de traitement, votre registre doit donc clairement distinguer les deux catégories d’activités.

En pratique, dans cette hypothèse, la CNIL vous recommande de tenir 2 registres :

  1. un pour les traitements de données personnelles dont vous êtes vous-même responsable,

  2. un autre pour les traitements que vous opérez, en tant que sous-traitant, pour le compte de vos clients.

La suite de cette page traite uniquement du registre "Responsable de traitement".

Le registre "Responsable de traitement"

Pour chaque traitement, le registre d'un responsable de traitement indique au minima :

  1. le cas échéant, le nom et les coordonnées du responsable conjoint du traitement mis en œuvre

  2. les finalités du traitement, l’objectif en vue duquel vous avez collecté ces données

  3. les catégories de personnes concernées (client, prospect, employé, etc.)

  4. les catégories de données personnelles (exemples : identité, situation familiale, économique ou financière, données bancaires, données de connexion, donnés de localisation, etc.)

  5. les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les sous-traitants auxquels vous recourez

  6. les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale et, dans certains cas très particuliers, les garanties prévues pour ces transferts ;

  7. les délais prévus pour l'effacement des différentes catégories de données, c’est-à-dire la durée de conservation, ou à défaut les critères permettant de la déterminer

  8. dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles que vous mettez en œuvre

Les acteurs

  • L'identité et les informations de contacts du responsable du traitement

  • L'identité et les informations de contacts du DPO le cas échéant

  • L'identité et les informations de contacts du représentant le cas échéant

  • Le ou les responsables de traitement conjoints, le cas échéant

Les finalités

  • Toutes les finalités liées à l'activité impliquant le traitement

La base légale

  • Respect d'une obligation légale

  • Exécution d'un contrat

  • Intérêt légitime de l'entreprise ou d'un tiers

  • Intérêt public

  • Consentement

  • Sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne

L'inventaire des données et des personnes concernées

  • Type de personnes concernées

  • Catégories de données

  • Délais de suppression des données ou règle applicable

Les destinataires et les transferts de données hors EEE

  • Identification des destinataires comprenant les destinataires internes (service concerné par le traitement) ; organismes externes (partenaires commerciaux ou institutionnels) ; sous-traitants (hébergeur, fournisseur de solutions) ; personne concernée le cas échéant et responsables conjoints

  • Pour chaque destinataire, identification des transferts en dehors de l'Espace économique européen (EEE) et les outils juridiques utilisés (Règles d'entreprise contraignantes en cas de transferts hors UE avec les filiales, clauses contractuelles types, pays reconnu adéquat...)

Les mesures de sécurité

  • Mesures techniques et organisationnelles mises en place pour sécuriser chaque traitement de données

  • Par exemple, chiffrement des données, pseudonymisation, limitation des accès

Il est possible de passer d'un traitement créer en tant que responsable de traitement a un traitement créé en tant que sous-traitant et vise versa. La procédure est disponible ici

Aller plus loin

Dernière mise à jour