RGPD : Les règles tenant à la tenue du registre des activités de traitement

Comme on le sait, le Règlement général sur la protection des données (RGPD ou GDPR pour le nom anglais), entrera en vigueur définitivement dans toute l'Union européenne le 25 mai prochain, soit dans 8 mois.

Le site d'avocats franco-belges Droit & Technologies a publié au cours de l'été un article didactique sur les obligations de tenue du registre des activités de traitement.

La tenue d'un registre des traitements : déjà la règle pour les entreprises ayant nommé un Cil

Cette obligation n'est pas nouvelle, mais se généralise aux termes du nouveau règlement. Elle existait déjà sous l'empire de la directive 95/46/CE et avait été mise en place dans la loi française lors de la réforme d'août 2004. Les correspondants informatique et libertés (Cil), lorsqu'ils étaient nommés dans une collectivité publique ou une entreprise, devaient ainsi tenir registre de l'ensemble des traitements de données à caractère personnel mis en œuvre dans l'entité, aux lieu et place de la Cnil. Mais de facultative, la désignation d'un Cil, devenu CPD (correspondant à la protection des données ou Data Protection Officer – DPO) devient obligatoire dans le futur règlement et en constitue un des piliers.

De sorte qu'expliquer les règles, les contraintes, les sanctions, etc. comme le fait l'article de Droit & Technologies, c'est dérouler presque toute la pelote des dispositions du Règlement européen.
Au passage, l'article signale que la Commission belge pour la protection de la vie privée (CPVP, l'homologue de notre Cnil) a publié une recommandation "qui peut servir de guide". Le règlement étant le même pour tous les pays de l'Union, il peut être intéressant de consulter cette Recommandation.

En savoir plus

Lire l'article "GDPR : Tout savoir sur le registre des activités de traitement" du 9 août dernier  sur le site Droit & Technologie :
https://www.droit-technologie.org/actualites/gdpr-savoir-registre-activites-de-traitement/

Consulter la Recommandation de la CPVP belge du 14 juin 2017 (pdf, 334 ko) :
https://www.privacycommission.be/sites/privacycommission/files/documents/recommandation_06_2017_0.pdf

La CPVP met également à disposition un modèle de registre sous la forme d'un tableur :

Didier FROCHOT