L’article 30 du RGPD oblige les entités qui réalisent des traitements de données à caractère personnel à tenir un registre des activités de traitement effectuées sous leur responsabilité.

Cette obligation incombe au responsable de traitement, c’est-à-dire à la personne qui détermine les finalités et les moyens du traitement, mais peut aussi être confiée au délégué à la protection des données.

Ce registre doit comporter un certain nombre d’informations, à savoir le nom et les coordonnées du responsable de traitement, de son représentant et du délégué à la protection des données, les finalités du traitement, une description des catégories de personnes concernées et des catégories de données à caractère personnel, les catégories de destinataires des données, les transferts de données à caractère personnel vers un pays tiers, les délais de conservation des données ainsi qu’une description des mesures de sécurité techniques et organisationnelles.

La mise en œuvre d’un tel registre s’impose également à tous les sous-traitants qui procèdent à des traitements de données à caractère personnel pour le compte du responsable de traitement.

Cependant, les entités de moins de 250 employés ne sont pas concernées par l’obligation de tenir un registre de traitement, sauf si ce traitement est susceptible de comporter un risque pour les droits et libertés des personnes concernées, s’il n’est pas occasionnel ou s’il porte sur des données sensibles ou sur des données relatives à des condamnations pénales et à des infractions.

Aucune obligation particulière de forme n’est exigée par le RGPD, excepté le fait que le registre soit un écrit papier électronique. Un modèle de registre de traitement est mis à disposition sur le site de la CNIL.

Le registre de traitement doit pouvoir être communiqué à la CNIL si celle-ci en fait la demande. Il convient donc de l’intégrer à la documentation interne.