L’article 30 du RGPD impose à chaque responsable du traitement de tenir un registre des activités de traitement dont il porte la responsabilité. Il constitue le premier élément d’ « accountability » permettant de démontrer le respect du RGPD. Le registre des activités de traitement permet de recenser vos traitements de données et de disposer d’une vue d’ensemble de ce que vous faites avec les données personnelles.

L’activité de traitement constitue l’activité « parapluie » qui englobe l’ensemble des finalités poursuivies dans le cadre de l’activité.

Par exemple, l’activité « recrutement » pourra avoir deux finalités distinctes : l’analyse des candidatures et la gestion des entretiens ainsi que la constitution d’une CV-thèque.

Les termes « activités de traitement » et « traitements », souvent confondus, peuvent être entendus de manière similaire.

Un traitement est défini l’article 4 du RGPD par « toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel ».

Par exemple, il s’agit d’une base de données, d’un tableau Excel, d’une installation de vidéosurveillance, d’un système de paiement par carte bancaire ou reconnaissance biométrique, d’une application pour smartphone etc.

Un traitement de données à caractère personnel peut être informatisé ou non.

En savoir plus