Introduction

L’article 30 du RGPD prévoit des obligations spécifiques pour le registre du responsable de traitement de données personnelles et pour le registre du sous-traitant. Si votre organisme agit à la fois en tant que sous-traitant et responsable de traitement, votre registre doit donc clairement distinguer les deux catégories d’activités.

En pratique, dans cette hypothèse, la CNIL vous recommande de tenir 2 registres :

1. un pour les traitements de données personnelles dont vous êtes vous-même responsable,

2. un autre pour les traitements que vous opérez, en tant que sous-traitant, pour le compte de vos clients.

La suite de cette page traite uniquement du registre "Sous-traitant".

Le registre Sous-traitant

Chaque sous-traitant est tenu de renseigner un registre moins étendu.

Celui-ci contient :

• les coordonnées du sous-traitant, de son représentant le cas échéant et de son DPO

• les coordonnées de tous les responsables de traitement pour le compte desquels le sous-traitant agit (les clients généralement)

• les catégories de données traitées

• les destinataires

• les transferts hors EEE

• les mesures de sécurité

Aller plus loin