Le registre des activités de traitement
En contrepartie de la suppression des formalités déclaratives, le RGPD prévoit l’instauration d’un registre des activités de traitement qui doit être tenu par le responsable de traitement.
Chaque responsable de traitement devra tenir un registre des catégories de traitement de données à caractère personnel mises en œuvre sous sa responsabilité. Cette obligation ne s’impose pas aux entreprises comptant moins de 250 salariés, sauf si le traitement qu’elles effectuent est susceptible de comporter un risque au regard des droits et des libertés des personnes concernées, s’il n’est pas occasionnel ou s’il porte notamment sur des données sensibles, ou sur des données se rapportant à des condamnations et des infractions pénales.
Il semble donc qu’un grand nombre de cabinets d’avocats, dès lors que leurs traitements portent sur des données relatives à des catégories particulières de données ou des données se rapportant à des condamnations et des infractions pénales, seront soumis à l’obligation de mettre en place un registre des activités de traitement.
En tout état de cause, même pour ceux qui n’y seraient pas obligés, la tenue d’un registre contribue au respect du principe d’accountability (consistant à documenter la conformité pour pouvoir la prouver) et, à ce titre, est vivement conseillée.
En effet, l’absence d’obligation de tenir un registre n’est pas un blanc-seing en matière de gestion des données personnelles, bien au contraire. Il convient a minima d’avoir une cartographie des traitements, de respecter tous les principes visés au RGPD, de respecter les droits des personnes et de documenter le respect de ces diverses obligations conformément au principe d’accountability.
Le registre doit, conformément à l’article [_RGPD30_], comporter les informations suivantes :
• Le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données ;
• Les finalités du traitement ;
• Une description des catégories de données traitées, ainsi que les catégories de personnes concernées par le traitement ;
• Les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales ;
• Le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou vers une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale, et les documents attestant de l’existence de garanties appropriées ;
• Dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données ;
• Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles mises en œuvre.