Qui doit tenir un registre de données ?
Le RGPD oblige le responsable du traitement (ou son représentant) ainsi que les sous-traitants à conserver une documentation interne concernant les activités de traitement effectuées sous leur responsabilité[1]. Il s’agit du registre des activités de traitement ou registre de données.
Cette obligation remplace l’ancienne obligation de déclaration auprès de l’Autorité de protection des données (ci-après : APD).
Presque toutes les entreprises sont obligées de tenir un registre de données
La tenue d’un registre de données est obligatoire pour toutes les entreprises occupant plus de 250 travailleurs. Les entreprises de plus petite taille sont uniquement obligées de tenir un registre :
- Si le traitement effectué porte sur certaines catégories particulières de données ou sur des données relatives à des condamnations pénales et à des infractions OU
- Si le traitement effectué est susceptible de comporter un risque pour les droits et libertés des personnes concernées OU
- Si le traitement effectué n’est pas occasionnel
Cette dernière exception implique que pratiquement tous les employeurs devront tenir un registre de données. Selon l’APD, la gestion du personnel constitue en effet un traitement non occasionnel.
Enfin, l’APD recommande à toutes les entreprises de tenir un registre de données, et ce même si cette obligation ne leur est pas applicable.
Quelles informations doit contenir le registre de données ?
Ce registre donne une vue d’ensemble des activités de traitement effectuées au sein d’une entreprise. Il fait par ailleurs office de document justificatif quant aux traitements de données à caractère personnel détenues par l’entreprise.
Le registre doit se présenter sous une forme écrite (ou électronique) et doit être clair et compréhensible. Il doit comporter les informations suivantes :
- Qui ? Le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données ;
- Pourquoi ? Les finalités du traitement
- Quoi ? Une description des catégories de personnes concernées et des catégories de données à caractère personnel
- Où ? Les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées ; le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, éventuellement, les documents attestant de l’existence de garanties appropriées
- Combien de temps ? Dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données
- Comment ? Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles
Ce registre de données ne contient donc pas que des informations relatives aux traitements effectués dans le cadre de l'administration du personnel - et personnes intermédiaires, aux traitements effectués dans le cadre de la gestion du personnel - et personnes intermédiaires - et aux traitements effectués dans le cadre de l'organisation du travail. Il répertorie en effet également les traitements concernant la gestion clients ou fournisseurs, les données de vidéosurveillance...
Vous trouverez de plus amples informations à ce sujet, ainsi qu’un modèle de registre sur le site web de l’APD.
Sanction en cas d’absence de registre de données
Toute violation de cette obligation peut faire l’objet d’une amende administrative pouvant s’élever jusqu’à 10. 000. 000 euros ou, dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu[2].
L’autorité de contrôle peut par ailleurs exercer tous les pouvoirs d’enquête dont elle dispose à l’égard du responsable du traitement et du sous-traitant dès lors qu’ils ne respectent pas leur obligation de tenir un registre[3].
[1] Article 30 du RGPD.
[2] Article 83,4 du RGPD.
[3] Article 58 du RGPD.