Les 3 registres RGPD que vous devez mettre en place

• Thiébaut Devergranne

Si vous n’avez pas commencé à vous lancer dans un plan de conformité au RGPD (GDPR) vous êtes en retard – mais vous pouvez toujours assister à nos formations GDPR si vous voulez rattraper les choses.

En tout état de cause, vous devriez avoir réalisé qu’il y a 3 registres que vous devez mettre en place :

Le premier registre est le registre de responsable de traitement imposé par l’article 30 :

 » Chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement tiennent un registre des activités de traitement effectuées sous leur responsabilité. »

Il ne présente pas beaucoup de particularités autres que de nécessiter un énorme travail de recensement de l’ensemble des traitements mis en oeuvre (et non des applications informatiques utilisées par une entreprise – même si cela donne des indications). Les informations à indiquer sont règlementées donc les choses sont assez claires de ce côté, voici la liste pour chaque traitement :

Ce registre comporte toutes les informations suivantes:

a) le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données; b) les finalités du traitement; c) une description des catégories de personnes concernées et des catégories de données à caractère personnel; d) les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales; e) le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa, les documents attestant de l’existence de garanties appropriées; f) dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données; g) dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l’article 32, paragraphe 1.

Le second registre est le registre sous-traitant, dont pas grand monde ne parle mais qui est tout aussi obligatoire et essentiel. En effet, toujours dans les termes de l’article 30 :

« Chaque sous-traitant et, le cas échéant, le représentant du sous-traitant tiennent un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable du traitement »

Encore une fois ce registre est règlementé donc les choses sont assez simples quant à la liste des informations qu’il est nécessaire de conserver, puisque celles-ci comprennent :

a) le nom et les coordonnées du ou des sous-traitants et de chaque responsable du traitement pour le compte duquel le sous-traitant agit ainsi que, le cas échéant, les noms et les coordonnées du représentant du responsable du traitement ou du sous-traitant et celles du délégué à la protection des données; b) les catégories de traitements effectués pour le compte de chaque responsable du traitement; c) le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa, les documents attestant de l’existence de garanties appropriées; d) dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l’article 32, paragraphe 1.

Enfin le 3ème registre est le registre des notification de violations de données personnelles qui doivent être notifiées à la CNIL – notamment – et qui doivent être consignées sur un registre spécifique. Ainsi en cas de contrôle la CNIL pourra analyser le registre des incidents de sécurité – afin de déterminer si l’ensemble des violations de DCP sont bien suivies par l’organisation.

Si ce travail est nouveau pour vous inscrivez-vous à nos formations elle détaillent l’ensemble des process à mettre en oeuvre  de manière simple et efficace ce qui vous permettra d’aller à l’essentiel.


Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit. Il travaille en droit des nouvelles technologies depuis plus de 15 ans, dont 6 passés au sein des services du Premier Ministre. En savoir plus.

formation RGPD

VOS CGV (gratuit)