Article 30 du RGPD
Registre des activités de traitement

Chapitre 4 - Responsable du traitement et sous-traitant
AccueilArticles RGPD > 
Registre des activités de traitement
1 - Contenu de l'article2 - Notre analyse3 - Exemple de sanctions

Ce que dit le RGPD sur l'Article 30

1.  Chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement tiennent un registre des activités de traitement effectuées sous leur responsabilité. Ce registre comporte toutes les informations suivantes:

a) le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données;

b) les finalités du traitement;

c) une description des catégories de personnes concernées et des catégories de données à caractère personnel;

d) les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales;

e) le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l'article 49, paragraphe 1, deuxième alinéa, les documents attestant de l'existence de garanties appropriées;

f) dans la mesure du possible, les délais prévus pour l'effacement des différentes catégories de données;

g) dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l'article 32, paragraphe 1.

2.  Chaque sous-traitant et, le cas échéant, le représentant du sous-traitant tiennent un registre de toutes les catégories d'activités de traitement effectuées pour le compte du responsable du traitement, comprenant:

a) le nom et les coordonnées du ou des sous-traitants et de chaque responsable du traitement pour le compte duquel le sous-traitant agit ainsi que, le cas échéant, les noms et les coordonnées du représentant du responsable du traitement ou du sous-traitant et celles du délégué à la protection des données;

b) les catégories de traitements effectués pour le compte de chaque responsable du traitement;

c) le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l'article 49, paragraphe 1, deuxième alinéa, les documents attestant de l'existence de garanties appropriées;

d) dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l'article 32, paragraphe 1.

3.  Les registres visés aux paragraphes 1 et 2 se présentent sous une forme écrite y compris la forme électronique.

4.  Le responsable du traitement ou le sous-traitant et, le cas échéant, leur représentant mettent le registre à la disposition de l'autorité de contrôle sur demande.

5.  Les obligations visées aux paragraphes 1 et 2 ne s'appliquent pas à une entreprise ou à une organisation comptant moins de 250 employés, sauf si le traitement qu'elles effectuent est susceptible de comporter un risque pour les droits et des libertés des personnes concernées, s'il n'est pas occasionnel ou s'il porte notamment sur les catégories particulières de données visées à l'article 9, paragraphe 1, ou sur des données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article 10.

Que doit-on comprendre de l'Article 30 du RGPD ?

L’article 30 du RGPD concerne le registre de traitements des données personnelles. Il s’agit du document central dans la mise en conformité au RGPD. Il a deux fonctions principales :

  • Le registre de traitement est votre boussole dans votre démarche de mise en conformité au RGPD. Il vous oblige à recenser les données personnelles que vous collectez et la manière dont vous les utilisez ;
  • Il est également le document de référence permettant de démontrer votre conformité auprès des autorités de contrôles mais également auprès de vos clients et partenaires.

Voyons plus en détail de quoi il s’agit.

Définition du registre de traitements de données personnelles

Qu’est ce qu’une donnée personnelle ?

💡Pour rappel, les données à caractère personnel sont toutes les informations se rapportant à une personne physique identifiée ou identifiable directement (exemple : nom et prénom) ou indirectement (exemple : le numéro de sécurité sociale, une adresse e-mail, l’enregistrement des conversations) (article 4 RGPD). Dès lors, toutes les données qui permettent de remonter à une personne physique, même indirectement, sont des données à caractère personnel. Sont donc exclues de cette définition toutes les données se rapportant à une personne morale : entreprise, organisme privé ou public, État etc.

⚠️ Même dans une relation B2B il y a de la donnée à caractère personnel dans la mesure où derrière une entreprise se cache toujours une personne physique. Et dans ce cas, la donnée personnelle sera relative à l’email professionnel et l’identité de la personne physique représentant l’entreprise. À l’inverse, si vous détenez des informations sur le siège social d’une entreprise et son immatriculation, ces données ne permettent pas d’identifier une personne physique, ce n’est pas de la donnée personnelle.

Qu’est ce qu’un traitement ?

Un traitement correspond à toute opération sur une donnée à caractère personnel : collecte, enregistrement, utilisation, transmission, pseudonymisation, destruction etc. Un traitement est tout ce qui peut possiblement être fait sur une donnée personnelle (article 4 RGPD). Ainsi, un traitement à caractère personnel c’est tout opération, manipulation d’une donnée personnelle.

Dès lors un registre de traitements de données personnelles est un document qui répertorie tous les traitements de données personnelles.

Contenu du registre de traitements

Concrètement, le registre de traitement est une déclaration de la manière dont vous utilisez les données personnelles. Cette déclaration est divisée par traitements, donc par groupe de données utilisées pour un but précis. Il convient de déclarer plusieurs éléments pour chaque utilisation d’un groupe de données personnelles :

Coordonnées des personnes associées aux traitements

Votre registre de traitement doit permettre d’identifier les différents responsables en matière de protection de données personnelles. Il s’agit des personnes suivantes :

  • Responsable de traitement : Le responsable de traitement est la personne qui détermine la finalité et les moyens du traitement de la donnée personnelle. Il s’agit de la personne morale (votre entreprise) incarnée par son représentant légal.
  • Sous-traitants : Le sous-traitant est la personne ou l’organisme (souvent un prestataire de service) qui traite des données à caractère personnel pour le compte et sur les instructions du responsable de traitement. Par exemple votre éditeur de logiciel, votre comptable etc.
  • Le délégué à la protection des données ou DPO si vous avez désigné une telle personne dans votre entreprise.

Les catégories de données personnelles concernées

L’article 30 n’impose pas un certain niveau de détail. Par exemple, il suffit d’indiquer que les données utilisées correspondent au nom, prénom, adresse email et postale d’une vingtaine de clients.

La catégorie de personnes concernées

Il existe plusieurs catégories de personnes qui peuvent être concernées par le traitement : clients, prospects, employés, anciens employés, prestataires (fournisseurs) etc. Pour rappel, lorsque la donnée ne peut être rattachée qu’à une personne morale (entreprise, organisme) en dehors de toute personne physique, ce n’est pas une donnée personnelle, c’est une simple donnée.

La base légale

La base légale est le fondement juridique qui vous autorise à collecter des informations sur une personne (article 6 RGPD). Il existe 6 hypothèses dans lesquelles le RGPD vous permet de collecter et traiter des données personnelles  :

  • Pour l’exécution d’un contrat ;
  • En vertu du consentement donné par la personne ;
  • En vertu d’une obligation légale ;
  • Si votre entreprise à un intérêt légitime à traiter ces données personnelles ;
  • Lorsque vous êtes en charge d’un intérêt public ;
  • Ou lorsqu’un intérêt vital est en jeux.

La finalité

La finalité correspond à l’objectif, la raison pour laquelle vous collectez des données personnelles. Cet élément est très important dans la mesure où vous serez ensuite limité par la finalité que vous déterminez (article 5 RGPD).

Par exemple, vous pouvez indiquer que vous traitez un groupe d’informations contenues dans votre CRM en vue de la conclusion de futurs contrats commerciaux. Ainsi, vous ne pourrez plus utiliser le contact de vos prospects pour autre chose, comme par exemple recruter une de ces personnes. Votre utilisation des données doit être cohérente avec la finalité indiquée.

Les personnes qui ont accès à ces données

Qu’il s’agisse des équipes internes à votre entreprise ou les prestataires de service à qui vous transférez naturellement des données, vous devez lister ces catégories de personnes.

Par exemple, pour les contacts de vos prospects, ces données sont transférées à un CRM comme Hubspot et hébergées sur les serveurs d’AWS. Ce sont deux exemples de sous-traitants auxquels vous pourriez avoir recours. Les personnes ayant accès aux données correspondent également à vos équipes interne (sales, marketing etc.).

Durée de conservation des données

En application des dispositions du RGPD, aucune donnée personnelle ne peut être conservée indéfiniment. Les responsables de traitements ont la charge de déterminer une durée de conservations des données personnelles ou, a minima, un moyen de déterminer une telle durée.

Par exemple, vous pouvez indiquer dans votre registre que vous conservez les données de contacts des clients pour l’envoi de newletters durant toute la durée du traitement, c’est-à-dire  jusqu’à ce qu’ils forment une demande de désabonnement. La référence à l’évènement “désabonnement” permet de déterminer la durée de conservation.

Le RGPD n’impose aucune durée de conservation, c’est à vous de les fixer avec bon sens. Néanmoins, la CNIL s’est prononcée sur plusieurs durée de conservation au de-là desquelles elle estime que la durée de conservation est abusive.

Mesure de sécurité

L’obligation principale de tout responsable de traitement est d’assurer la sécurité des données personnelles qu’il traite. Pour assurer leur sécurité et éviter tout risque de violation des données, il convient de mettre en oeuvre des mesures de sécurité : mesures techniques et mesures organisationnelles (article 32 RGPD).

Par exemple, votre entreprise peut prévoir un système de chiffrement des données avant export sur des serveurs avec un système de clés remises à un tiers.

Etes vous obligé de tenir un registre de traitements ?

L’article 30 point 5 du RGPD dispose qu’une entreprise ou un organisme a l’obligation de tenir un registre de traitements dans les cas suivants :

  • Entreprise et organisation comptant 250 employés ou plus ;
  • Entreprise et organisation opérant des traitements susceptibles de comporter un risque pour les droits et libertés des personnes concernées. Sur la notion de risque pour les droits et libertés, vous pouvez vous rapporter à notre article sur l’analyse d’impact qui analyse les traitements associés à ce risque. Par exemple lorsque votre entreprise utilise une technologie particulière.
  • Entreprise et organisation opérant des traitements non-occasionnels. C’est ce dernier critère qui conduit à obliger beaucoup de structures à se munir d’un registre de traitement dès lors qu’elles opèrent des traitements de manière courante.
  • Entreprise et organisation opérant des traitements sur des données sensibles (concernant l’origine raciale, opinions politiques, convictions religieuse ou philosophiques, appartenance syndicale, vie sexuelle ou orientation sexuelle, données génétiques, données biométriques et donnée de santé)(article 9 RGPD) ou sur des informations relatives aux condamnations pénales ou infractions des personnes (article 10 RGPD)

Si votre entreprise opèrent des traitements correspondant à l’une de ces hypothèses, vous êtes dans l’obligation de tenir un registre de traitement.

Si tel n’est pas le cas, vous avez néanmoins tout intérêt à disposer d’un tel document.

En effet, de plus en plus d’entreprises, avant de contracter avec leurs partenaires ou leurs prestataires, auditent ce dernier sur la partie conformité au RGPD. Cet audit prend souvent la forme d’un questionnaire et pour y répondre, votre registre de traitement est le seul document dont vous aurez besoin pour répondre sans effort à cet audit. Il arrive même que certaines entreprises demande une copie du registre de traitement de leurs partenaires.

Concrètement, le registre de traitement est une porte d’entrée sur beaucoup de marchés. Il est devenu un atout concurrentiel majeur. Dès lors, construire sont registre de traitements le plus tôt possible vous assure de développer votre activité sans vous inquiéter sur la partie conformité.

Si vous cherchez une solution pour vous accompagner dans cette démarche, Leto est une solution qui permet d’automatiser une grande partie de votre registre. N’hésitez pas à demander une démo 💁🏻‍♀️

Des exemples de sanctions dans le cadre de l'Article 30 du RGPD

2500000
Autorité italienne de protection des données (Garante)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Deliveroo Italie Srl
400000
Autorité italienne de protection des données (Garante)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Spa Atac
250000
Autorité belge de protection des données (APD)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Iab Europe
100000
Autorité italienne de protection des données (Garante)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Azienda Unità Sanitaria Locale Toscana Sud Est
80000
Autorité italienne de protection des données (Garante)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Spa Du Groupe Planet
30000
Autorité italienne de protection des données (Garante)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Onedirect Srl
30000
Autorité italienne de protection des données (Garante)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Flowbird Italia Srl
3000
Commission Nationale de l'Informatique et des Libertés (CNIL)
Contexte :
Exécution insuffisante des droits des personnes concernées
En cause :
Société Nouvelle De L'annuaire Français
1500
Autorité belge de protection des données (APD)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Inconnu
Les autres articles du chapitre :
Article 24 - Responsabilité du responsable du traitement
Article 25 - Protection des données dès la conception et protection des données par défaut
Article 26 - Responsables conjoints du traitement
Article 27 - Représentants des responsables du traitement ou des sous-traitants qui ne sont pas établis dans l'Union
Article 28 - Sous-traitant
Article 29 - Traitement effectué sous l'autorité du responsable du traitement ou du sous-traitant
Article 31 - Coopération avec l'autorité de contrôle
Article 32 - Sécurité du traitement
Article 33 - Notification à l'autorité de contrôle d'une violation de données à caractère personnel
Article 34 - Communication à la personne concernée d'une violation de données à caractère personnel
Article 35 - Analyse d'impact relative à la protection des données
Article 36 - Consultation préalable
Article 37 - Désignation du délégué à la protection des données
Article 38 - Fonction du délégué à la protection des données
Article 39 - Missions du délégué à la protection des données
Article 40 - Codes de conduite
Article 41 - Suivi des codes de conduite approuvés
Article 42 - Certification
Article 43 - Organismes de certification
👈 Revenir à l'ensemble des articles du RGPD

S'inscrire à la newsletter RGPD de Leto

Chaque semaine, on parle de votre conformité aux règlements de protection des données personnelles.

Merci ! Nous avons bien reçu votre inscription.
Aïe ! Quelque chose n'a fonctionné. Pourriez-vous recommencer?
Rejoindre
Leto
Nous rejoindreContactA proposRessourcesPresseYoutubeConnexion
Légal
Où est la bannière de cookie RGPD ?Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2023