Cabinet d’avocats franco-belge, moderne et humain,
au service de la création et de l’innovation

9 pôles d’activités dédiés au
droit de la création et de l’innovation

Nos activités scientifiques & académiques

Faisons connaissance !

Un procès en vue ?
Lisez le guide destiné à mieux vous préparer

Le portail du droit des technologies, depuis 1997
Powered by

Un site pour tout savoir sur le RGPD
Powered by

arrow_back Retour à tous les articles

Article 30
Registre des activités de traitement

Textes
officiels
Guidelines Jurisprudence Analyse du
droit européen
Afficher les considérants du Règlement liés à l'article 30 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 30 keyboard_arrow_up

(82) Afin de démontrer qu'il respecte le présent règlement, le responsable du traitement ou le sous-traitant devrait tenir des registres pour les activités de traitement relevant de sa responsabilité. Chaque responsable du traitement et sous-traitant devrait être tenu de coopérer avec l'autorité de contrôle et de mettre ces registres à la disposition de celle-ci, sur demande, pour qu'ils servent au contrôle des opérations de traitement.

Afficher les considérants de la Directive 95/46 liés à l'article 30 keyboard_arrow_down Cacher les considérants de la Directive 95/46 liés à l'article 30 keyboard_arrow_up

(25) considérant que les principes de la protection doivent trouver leur expression, d'une part, dans les obligations mises à la charge des personnes, autorités publiques, entreprises, agences ou autres organismes qui traitent des données, ces obligations concernant en particulier la qualité des données, la sécurité technique, la notification à l'autorité de contrôle, les circonstances dans lesquelles le traitement peut être effectué, et, d'autre part, dans les droits donnés aux personnes dont les données font l'objet d'un traitement d'être informées sur celui-ci, de pouvoir accéder aux données, de pouvoir demander leur rectification, voire de s'opposer au traitement dans certaines circonstances;

(48) considérant que la notification à l'autorité de contrôle a pour objet d'organiser la publicité des finalités du traitement, ainsi que de ses principales caractéristiques, en vue de son contrôle au regard des dispositions nationales prises en application de la présente directive;

(49) considérant que, afin d'éviter des formalités administratives inadéquates, des exonérations ou des simplifications de la notification peuvent être prévues par les États membres pour les traitements de données qui ne sont pas susceptibles de porter atteinte aux droits et libertés des personnes concernées, à condition qu'ils soient conformes à un acte pris par l'État membre qui en précise les limites; que des exonérations ou simplifications peuvent pareillement être prévues par les États membres dès lors qu'une personne désignée par le responsable du traitement de données s'assure que les traitements effectués ne sont pas susceptibles de porter atteinte aux droits et libertés des personnes concernées; que la personne ainsi détachée à la protection des données, employée ou non du responsable du traitement de données, doit être en mesure d'exercer ses fonctions en toute indépendance;

(50) considérant que des exonérations ou simplifications peuvent être prévues pour le traitement de données dont le seul but est de tenir un registre destiné, dans le respect du droit national, à l'information du public et qui est ouvert à la consultation du public ou de toute personne justifiant d'un intérêt légitime;

(51) considérant que, néanmoins, le bénéfice de la simplification ou de l'exonération de l'obligation de notification ne dispense le responsable du traitement de données d'aucune des autres obligations découlant de la présente directive;

(52) considérant que, dans ce contexte, le contrôle a posteriori par les autorités compétentes doit être en général considéré comme une mesure suffisante;

Guidelines

Ici viendront les guidelines

Sommaire

Belgique

Retour au sommaire

Belgique

Autorité de portection des données

Recommandation relative au Registre des activités de traitements (article 30 du RGPD) - 6/2017 (14 juin 2017)

  1. Le Règlement général sur la protection des données (ci-après RGPD) est entré en vigueur le 24 mai 2016 et sera d’application à dater du 25 mai 2018.

  2. Au chapitre IV du RGPD qui énonce les obligations des responsables de traitement et des sous-traitants, l’article 30 met à charge des responsables de traitement et des sous-traitants une obligation de tenir un registre des activités de traitement (ci-après le Registre). Un certain nombre d’informations relatives aux traitements opérés doivent figurer dans ce Registre : dans quel but sont-elles traitées, quelles sont les catégories de personnes concernées par les données traitées, quels sont les destinataires des données, quel est leur délai de conservation etc.

  3. La Commission de la protection de la vie privée (ci-après la CPVP) reçoit un grand nombre de questions relatives à ce Registre. Partant, elle adopte la présente recommandation afin de guider les responsables de traitement et les sous-traitants dans la préparation de celui-ci d’ici au 25 mai 2018, date à partir de laquelle ce Registre devra être en place et date à partir de laquelle la CPVP pourra également demander qu’il soit mis à sa disposition, dans le cadre de contrôles par exemple.

  4. Pour établir ce Registre, la/les déclaration(s) préalable(s) de traitement prévue(s) à l’article 17 de la Loi Vie privée (ci-après LVP) que les responsables de traitement ont introduit auprès de la CPVP pourra/ pourront, dans une certaine mesure, être utile(s). Il sera précisé dans cette recommandation dans quelles limites, cette ou ces déclaration(s) de traitement introduite(s) et disponibles via le Registre public en ligne pourra/pourront être exploitée(s).

  5. La recommandation abordera les questions suivantes :

    1. Qui doit tenir un Registre ? Existe-t-il des exceptions ?

    2. Pourquoi cette obligation de tenir un Registre ?

    3. Que doit contenir le Registre ? Quelles informations ?

    4. Comment établir le Registre ?

    5. A qui est-il destiné ?

    6. Quelle(s) sanction(s) ?

Lien

Retour au sommaire

Le GDPR

Lors de l’évaluation de l’application de la Directive, il est apparu que l’obligation de notification préalable visée aux articles 18 et 19 générait une charge administrative et financière, sans pour autant avoir véritablement amélioré la protection des données.

Le législateur de l’Union a donc fait choix de remplacer cette obligation de notification par une obligation à charge des responsables du traitement et des sous-traitants, de conserver une trace documentaire des opérations de traitement sous leur responsabilité.

Ainsi, tant les responsables que les sous-traitants (et le cas échéant, leurs représentants) devront tenir des registres pour toutes les catégories d'activités de traitement relevant de leur responsabilité c’est-à-dire pour chacun des traitements qu’ils mettent en oeuvre. Ceux-ci seront mis à disposition des autorités de contrôle sur demande de celles-ci.

Ces registres devront comporter toute une série d’informations listées par le Règlement, qui diffèrent selon que ce registre est tenu par un responsable ou un sous-traitant.

Outre des informations sur l’identification des différents intervenants (responsables, sous-traitants, mais aussi responsables conjoints ou délégués à la protection des données), on y retrouve par exemple les finalités du traitement, une description des catégories de personnes concernées et des catégories de données à caractère personnel s'y rapportant, les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, les délais prévus pour l’effacement des différentes catégories de données, une description des mesures de sécurité, etc.

Le Règlement précise que ces registres doivent se présenter sous une forme écrite, y compris électronique, ou sous une autre forme non lisible pouvant être convertie en forme lisible.

Une seule exception est prévue à l’obligation de tenir des registres qui s’adresse aux entreprises ou organismes comptant moins de 250 salariés, sauf si le traitement qu'ils effectuent est susceptible de comporter un risque élevé au regard des droits et des libertés des personnes concernées, que le traitement n’est pas occasionnel, ou qu’il porte sur des données sensibles visées à l’article 9 (1) ou relatives à des condamnations ou infractions pénales visées à l’article 10.

La Directive

Sous l’empire de la Directive, l’article 16 (2) autorisait les Etats membres à prévoir deux dérogations à l’obligation d’adresser une notification à l’autorité de contrôle préalablement à la mise en œuvre du traitement :

- la première visait les catégories de traitements qui ne sont pas susceptibles de porter atteinte aux droits et libertés des personnes concernées compte tenu des données à traiter et pour autant qu’ils précisent les finalités, les données ou les catégories de données traitées, les personnes concernées, les destinataires, ainsi que la durée de conservation ;

- la seconde visait l’hypothèse où le responsable a désigné un détaché à la protection des données chargé, d’une part, d’assurer le respect de la législation en matière de protection des données, et, d’autre part, de tenir un registre des traitements effectués.

Belgique

En droit belge, l’article 17bis, alinéa 2 de la loi du 8 décembre donne la faculté au Roi de déterminer que le responsable du traitement désigne un préposé à la protection des données, chargé d'assurer, de manière indépendante, l'application de la présente loi et de ses arrêté d'exécution.

Toutefois, cette disposition, et donc le statut du préposé à la protection des données, n’a jamais fait l’objet d’une mesure d’exécution. Comme l’observe le rapport au Roi de l’Arrêté royal du 13 février 2001 portant exécution de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel, l 'idée d'instituer un préposé à la protection des données, issue de la Directive 95/46/CE et plus précisément d'une pratique allemande, n'a jamais rencontré beaucoup d'écho en Belgique. Par conséquent, la possibilité laissée par la Directive de remplacer l’obligation de notification à l’autorité de contrôle par la tenue d’un registre par un détaché à la protection des données n’a jamais été mise en œuvre en droit belge.

France

En droit français, l’article 67 de la loi Informatique et Libertés met en œuvre la dérogation à l’obligation de notification à la CNIL mais seulement pour les traitements mis en œuvre aux seules fins d’exercice, à titre professionnel de l’activité de journaliste et uniquement pour autant qu’un correspondant à la protection des données soit chargé de tenir un registre des traitements mis en œuvre par le responsable.

Difficultés probables

Cette suppression de l’obligation de notification préalable peut être interprétée de deux points de vue. 

Du point de vue des personnes concernées, cette évolution pourrait sembler constituer une marche en arrière. En effet, le système en vigueur permettait à chacun de s’informer des finalités du traitement et de ses principales caractéristiques, sans qu’il soit nécessaire de s’adresser aux responsables du traitement via les systèmes de registres publics tenus par les autorités, au départ des déclarations ou notifications préalables. Mais qui exerçait réellement cette possibilité ?

Du point de vue des responsables de traitement, il est évident que la suppression de ce devoir de notification préalable pourrait sembler lui permettre d’éviter d’exposer des frais importants et lui faciliter donc la vie des responsables du traitement.

Rien n’est moins certain…

La véritable charge de travail se situait en amont lorsqu’il s’agissait d’identifier et de tenir à jour une documentation relative aux traitements faisant l’objet d’une déclaration. Or, cette obligation se généralise dans le nouveau système puisqu’elle concerne toute l’activité de traitement (alors qu’avant, de nombreux traitements étaient exemptés de déclaration et n’étaient d’ailleurs souvent pas documentés en interne dans l’organisation du responsable). D’autant qu’elle visera tant les responsables du traitement que les sous-traitants, voire même leurs représentants s’ils doivent être désignés.

Règlement
1e 2e

Art. 30

1. Chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement tiennent un registre des activités de traitement effectuées sous leur responsabilité. Ce registre comporte toutes les informations suivantes:

a) le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données;

b) les finalités du traitement;

c) une description des catégories de personnes concernées et des catégories de données à caractère personnel;

d) les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales;

e) le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l'article 49, paragraphe 1, deuxième alinéa, les documents attestant de l'existence de garanties appropriées;

f) dans la mesure du possible, les délais prévus pour l'effacement des différentes catégories de données;

g) dans la mesure du possible , une description générale des mesures de sécurité techniques et organisationnelles visées à l'article 32, paragraphe 1.

2. Chaque sous-traitant et, le cas échéant, le représentant du sous-traitant tiennent un registre de toutes les catégories d'activités de traitement effectuées pour le compte du responsable du traitement, comprenant:

a) le nom et les coordonnées du ou des sous-traitants et de chaque responsable du traitement pour le compte duquel le sous-traitant agit ainsi que, le cas échéant, les noms et les coordonnées du représentant du responsable du traitement ou du sous-traitant et celles du délégué à la protection des données;

b) les catégories de traitements effectués pour le compte de chaque responsable du traitement;

c) le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l'article 49, paragraphe 1, deuxième alinéa, les documents attestant de l'existence de garanties appropriées;

d) dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l'article 32, paragraphe 1.

3. Les registres visés aux paragraphes 1 et 2 se présentent sous une forme écrite y compris la forme électronique.

4. Le responsable du traitement ou le sous-traitant et, le cas échéant, leur représentant mettent le registre à la disposition de l'autorité de contrôle sur demande.

5. Les obligations visées aux paragraphes 1 et 2 ne s'appliquent pas à une entreprise ou à une organisation comptant moins de 250 employés, sauf si le traitement qu'elles effectuent est susceptible de comporter un risque pour les droits et des libertés des personnes concernées, s'il n'est pas occasionnel ou s'il porte notamment sur les catégories particulières de données visées à l'article 9, paragraphe 1, ou sur des données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article 10.

 

 

Proposition 1 close

1. Chaque responsable du traitement et chaque sous-traitant ainsi que, le cas échéant, le représentant du responsable du traitement, conservent une trace documentaire de tous les traitements effectués sous leur responsabilité.

2. La documentation constituée comporte au moins les informations suivantes:

a) le nom et les coordonnées du responsable du traitement, ou de tout responsable conjoint du traitement ou de tout sous-traitant, et du représentant, le cas échéant;

b) le nom et les coordonnées du délégué à la protection des données, le cas échéant;

c) les finalités du traitement, y compris les intérêts légitimes poursuivis par le responsable du traitement, lorsque le traitement se fonde sur l'article 6, paragraphe 1, point f);

d) une description des catégories de personnes concernées et des catégories de données à caractère personnel s'y rapportant

e) les destinataires ou les catégories de destinataires des données à caractère personnel, y compris les responsables du traitement auxquels les données à caractère personnel sont communiquées aux fins de l'intérêt légitime qu'ils poursuivent;

f) le cas échéant, les transferts de données vers un pays tiers ou à une organisation internationale, y compris le nom de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l'article 44, paragraphe 1, point h), les documents attestant l’existence de garanties appropriées;

g) une indication générale des délais impartis pour l'effacement des différentes catégories de données;

h) la description des mécanismes prévus à l'article 22, paragraphe 3.

 3. Le responsable du traitement et le sous-traitant ainsi que, le cas échéant, le représentant du responsable du traitement mettent la documentation à la disposition de l'autorité de contrôle, à la demande de celle-ci.

4. Les obligations visées aux paragraphes 1 et 2 ne s'appliquent pas aux responsables du traitement et aux sous-traitants relevant des catégories suivantes:

a) personnes physiques traitant des données à caractère personnel en l'absence de tout intérêt commercial;

ou b) entreprises ou organismes comptant moins de 250 salariés traitant des données à caractère personnel uniquement dans le cadre d'une activité qui est accessoire à leur activité principale.

5. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et exigences applicables à la documentation visée au paragraphe 1, pour tenir compte, notamment, des obligations du responsable du traitement et du sous-traitant et, le cas échéant, du représentant du responsable du traitement.

6. La Commission peut établir des formulaires types pour la documentation visée au paragraphe 1. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2.

Proposition 2 close

1. Chaque responsable du traitement et (…), le cas échéant, le représentant du responsable du traitement, tiennent un registre de toutes les catégories d'activités de traitement de données à caractère personnel mises en œuvre sous leur responsabilité. Ce registre comporte (…) les informations suivantes:

a) le nom et les coordonnées du responsable du traitement et de tout responsable conjoint du traitement (…), du représentant du responsable du traitement et, le cas échéant, du délégué à la protection des données;

b) (…)

c) les finalités du traitement, y compris les intérêts légitimes, lorsque le traitement se fonde sur l'article 6, paragraphe 1, point f);

d) une description des catégories de personnes concernées et des catégories de données à caractère personnel s'y rapportant;

e) les (…) catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, en particulier lorsque les destinataires sont établis dans des pays tiers;

f) le cas échéant, les catégories de transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale (…);

g) dans la mesure du possible, les délais prévus pour l'effacement des différentes catégories de données;

h) dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l'article 30, paragraphe 1.

 2 bis. Chaque sous-traitant tient un registre de toutes les catégories de traitements de données à caractère personnel effectués pour le compte du responsable du traitement, comprenant:

 a) le nom et les coordonnées du sous-traitant ou des sous-traitants et de chaque responsable du traitement pour le compte duquel le sous-traitant agit ainsi que, le cas échéant, le nom et les coordonnées du représentant du responsable du traitement;

b) le nom et les coordonnées du délégué à la protection des données, le cas échéant;

c) les catégories de traitements effectués pour le compte de chaque responsable du traitement;

d) le cas échéant, les catégories de transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale;

e) dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l'article 30, paragraphe 1.

3 bis. Les registres visés aux paragraphes 1 et 2 bis se présentent sous une forme écrite, y compris électronique, ou sous une autre forme non lisible pouvant être convertie en forme lisible.

3. Sur demande, le responsable du traitement et le sous-traitant ainsi que, le cas échéant, le représentant du responsable du traitement mettent le registre à la disposition (…) de l'autorité de contrôle.

4. Les obligations visées aux paragraphes 1 et 2 bis ne s'appliquent pas:

a) (…) ;

b) aux entreprises ou organismes comptant moins de 250 salariés, sauf si le traitement qu'ils effectuent est susceptible de comporter un risque élevé au regard des droits et des libertés des personnes concernées, par exemple (...) une discrimination, un vol ou une usurpation d'identité, un renversement non autorisé de la pseudonymisation, une perte financière, une atteinte à la réputation, une perte de confidentialité de données protégées par le secret professionnel ou tout autre dommage économique ou social pour les personnes concernées, compte tenu de la nature, de la portée, du contexte et des finalités du traitement.

5. (…)

6. (…)

Directive close

Pas de disposition correspondante

France

Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Art. 57

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

En application de l'article 24 du règlement (UE) 2016/679 du 27 avril 2016, le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s'assurer et être en mesure de démontrer que le traitement est effectué conformément à ce même règlement et à la présente loi.

Le responsable du traitement et, le cas échéant, son représentant tiennent le registre des activités de traitement dans les conditions prévues à l'article 30 de ce règlement. Ils désignent un délégué à la protection des données dans les conditions prévues par la section 4 du chapitre IV du même règlement.

Ancienne loi
en France
close

Pas de disposition correspondante

Belgique

Aucune disposition spécifique

Ancienne loi
en Belgique
close

Pas de disposition correspondante

Ulys logo

Cabinet d’avocats moderne et humain,
au service de la création et de l’innovation

En savoir plus
Droit & Technologies logo white

Depuis 1997, le Portail du Droit des Technologies
Retrouvez-y les derniers actualités et des dossiers exclusifs.

En savoir plus
close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK