Registre de protection des données

Ce document est garanti à jour

Accompagnement juridique

Format Word
modifiable

Registre de protection des données
Télécharger ce modèle
L'équipe juridique Legimedia

Rédigé et mis à jour par :

L'équipe juridique Legimedia

L'équipe juridique Legimedia

Document est à jour au 07/12/2024

Document rédigé et maintenu à jour par :

L'équipe juridique Legimedia

Qu'est-ce qu'un registre RGPD ou registre des activités de traitement ?

Le registre des activités de traitement est un registre prévu à l'article 30 du Règlement général sur la protection des données (RGPD). Ainsi, conformément à cet article, le responsable du traitement des données ou leur représentant doit tenir un registre des activités de traitement effectuées sous sa responsabilité, ce registre doit contenir un certain nombre d'informations obligatoires.

Le responsable du traitement ou le sous-traitant et le cas échéant, leur représentant, met le registre à la disposition de l'autorité de contrôle sur demande.

Ainsi, comme le précise le CNIL, ce registre est un outil de pilotage et de démonstration de la conformité des organismes publics comme privés au RGPD. Il leur permet de documenter leurs traitements de données.

Quand un registre des traitements est-il obligatoire ?

L'obligation de tenir un registre des traitements s'applique à tous les organismes, qu'ils soient publics ou privés, et ce, quelle que soit leur taille, dès lors qu'ils traitent des données personnelles.

Cependant, comme le rappelle la CNIL, les entreprises de moins de 250 salariés bénéficient d'une dérogation concernant la tenue de registres. Elles doivent uniquement inscrire les traitements de données suivants :

  • Les traitements non-occasionnels (gestion de la paie, gestion des clients/prospects et des fournisseurs).
  • Les traitements susceptibles de comporter un risque pour les droits et libertés des personnes (systèmes de géolocalisation, de vidéosurveillance).
  •  Les traitements portant sur des données sensibles (données de santé, infractions).

Qui doit tenir un registre des activités de traitement conforme au RGPD ?

Comme le prévoit l'article 30 du RGPD, c'est le responsable du traitement des données personnelles ou son représentant qui doit tenir ce registre. Une personne au sein de l'organisme peut être spécifiquement responsable de la tenue du registre. Si l'organisme a désigné un délégué à la protection des données (DPD), qu'il soit interne ou externe, cette tâche lui est confiée.

Comment remplir le registre des traitements RGPD ?

Le RGPD exige seulement que le registre soit sous une forme écrite. Le format est libre, il peut donc être établi sur papier ou en version électronique.

Pour vous aider dans la rédaction de ce registre, vous pouvez télécharger notre modèle de document conforme au RGPD.

Que doit contenir le registre de protection des données personnelles ? 

Selon l'article 30 du RGPD, lorsque ce registre est tenu par le responsable du traitement et, le cas échéant, le représentant du responsable du traitement, il doit comporter les informations suivantes :

  • Le nom et les coordonnées du responsable du traitement et le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données.
  • Les finalités du traitement.
  • Une description des catégories de personnes concernées et des catégories de données à caractère personnel.
  • Les catégories des destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales.
  • Le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris leur identification et, dans certaines hypothèses particulières, les documents attestant de l'existence de garanties appropriées
  • Dans la mesure du possible, les délais prévus pour l'effacement des différentes catégories de données.
  • Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles.

Lorsque le registre est géré par un sous-traitant ou son représentant pour le compte du responsable du traitement, il doit également contenir les informations mentionnées ci-dessus.

Ainsi, pour faciliter la réalisation de ce registre, notre équipe de juristes met à votre disposition un modèle de registre des activités de traitement soigneusement rédigé. Ce modèle a été élaboré dans le but de vous offrir un document clair, complet et conforme aux exigences juridiques en vigueur.

À qui s'adresse ce document ?

Notre modèle de registre des activités de traitement s'adresse aux responsables de traitement ou à leurs représentants. Il est destiné à toute organisation, publique ou privée, quelle que soit sa taille, qui traite des données personnelles, afin de les aider à documenter et à démontrer leur conformité au RGPD.

Notre modèle 

Modèle de registre des activités de traitement des données personnelles conforme à l'article 30 du RGPD à télécharger au format Word ou pdf

Le document juridique dont il est question se présente sous la forme d'un modèle type de registre des activités de traitement des données personnelles. Il s'agit d'un modèle de document qui est prérempli, et par ailleurs, une fois le téléchargement du document accompli, il demeure possible de le modifier et /ou de le personnaliser en procédant de la manière suivante :

  • En intégrant au sein des zones de texte réservées à cet effet les éléments de modification et /ou de personnalisation que l'émetteur du document juge nécessaires ;
  • En insérant des dispositions complémentaires à celles déjà existantes au sein du document, le rédacteur peut s'approprier pleinement les termes utilisés.