Article 30 du RGPD

Article 30 - Registre des activités de traitement

RGPD » chapitre 4 - responsable du traitement et sous-traitant » section 1 - obligations générales »  article 30

  1. Chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement tiennent un registre des activités de traitement effectuées sous leur responsabilité. Ce registre comporte toutes les informations suivantes:
    • a) le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données;
    • b) les finalités du traitement;
    • c) une description des catégories de personnes concernées et des catégories de données à caractère personnel;
    • d) les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales;
    • e) le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa, les documents attestant de l’existence de garanties appropriées;
    • f) dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données;
    • g) dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l’article 32, paragraphe 1.
  2. Chaque sous-traitant et, le cas échéant, le représentant du sous-traitant tiennent un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable du traitement, comprenant:
    • a) le nom et les coordonnées du ou des sous-traitants et de chaque responsable du traitement pour le compte duquel le sous-traitant agit ainsi que, le cas échéant, les noms et les coordonnées du représentant du responsable du traitement ou du sous-traitant et celles du délégué à la protection des données;
    • b) les catégories de traitements effectués pour le compte de chaque responsable du traitement;
    • c) le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa, les documents attestant de l’existence de garanties appropriées;
    • d) dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l’article 32, paragraphe 1.
  3. Les registres visés aux paragraphes 1 et 2 se présentent sous une forme écrite y compris la forme électronique.
  4. Le responsable du traitement ou le sous-traitant et, le cas échéant, leur représentant mettent le registre à la disposition de l’autorité de contrôle sur demande.
  5. Les obligations visées aux paragraphes 1 et 2 ne s’appliquent pas à une entreprise ou à une organisation comptant moins de 250 employés, sauf si le traitement qu’elles effectuent est susceptible de comporter un risque pour les droits et des libertés des personnes concernées, s’il n’est pas occasionnel ou s’il porte notamment sur les catégories particulières de données visées à l’article 9, paragraphe 1, ou sur des données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10.

Article 30 du RGPD : Ce qu'il faut comprendre

L’article 30 du RGPD impose aux responsables du traitement et aux sous-traitants de tenir un registre des activités de traitement des données personnelles. Ce registre contient des informations clés sur la manière dont les données sont traitées et doit être mis à disposition des autorités de contrôle sur demande. Il peut être sous forme écrite ou électronique.

Informations que doit contenir le registre des responsables du traitement

  1. Identité : Le nom et les coordonnées du responsable du traitement, du responsable conjoint, du représentant, et du délégué à la protection des données (le cas échéant).
  2. Finalités : Les objectifs pour lesquels les données sont traitées.
  3. Description des données : Les catégories de personnes concernées (par exemple, clients, employés) et les types de données traitées (par exemple, nom, adresse, données de santé).
  4. Destinataires : Les catégories de destinataires des données, y compris ceux en dehors de l’Union européenne ou dans des organisations internationales.
  5. Transferts internationaux : Le cas échéant, les transferts de données vers des pays tiers ou des organisations internationales, avec les garanties associées.
  6. Durée de conservation : Si possible, les délais de conservation des données.
  7. Mesures de sécurité : Une description générale des mesures techniques et organisationnelles mises en place pour protéger les données (par exemple, chiffrement, accès restreint).

Informations pour le registre des sous-traitants

  1. Identité : Le nom et les coordonnées du sous-traitant, du responsable du traitement pour lequel il agit, ainsi que du représentant et du délégué à la protection des données.
  2. Catégories de traitement : Les types de traitement effectués pour chaque responsable.
  3. Transferts internationaux : Comme pour les responsables, les transferts de données vers des pays tiers ou organisations internationales, et les garanties associées.
  4. Mesures de sécurité : Une description des mesures de sécurité mises en place.

Exemptions

Les entreprises ou organisations de moins de 250 employés sont exemptées de cette obligation, sauf si elles :

  • Traitent des données de manière non occasionnelle,
  • Traitent des données sensibles (comme celles liées à la santé ou aux condamnations pénales),
  • Effectuent un traitement comportant un risque pour les droits et libertés des personnes concernées.

Article 30 du RGPD – Exemples concrets

  • Exemple 1 : Une entreprise e-commerce
    Une entreprise qui gère un site e-commerce doit tenir un registre indiquant les types de données personnelles qu’elle collecte (comme les informations de paiement, les adresses de livraison), la durée de conservation de ces données, et les mesures de sécurité en place (comme le chiffrement des paiements).
  • Exemple 2 : Un sous-traitant en gestion de paie
    Une société qui gère la paie des employés pour le compte de plusieurs entreprises doit également tenir un registre précisant les types de traitement effectués (calcul des salaires, transmission des données à des organismes publics) et les mesures de protection des données mises en place.
  • Exemple 3 : Transfert de données à l’international
    Si une entreprise transfère des données personnelles à un prestataire situé en dehors de l’UE (par exemple, pour un service de cloud computing), elle doit préciser ces transferts dans son registre, en détaillant les garanties mises en place (comme des clauses contractuelles types ou une certification).

← Article 29 – Traitement effectué sous l’autorité du responsable du traitement ou du sous-traitant
Article 31 – Coopération avec l’autorité de contrôle →

Les articles du RGPD mentionnant l'article 30

Votre site internet est-il en conformité vis à vis des données personnelles ?

Ce registre doit inclure les activités de traitement liées aux sites internet, comme la collecte de données utilisateurs via des formulaires ou des outils d’analyse.

Faites auditer votre site gratuitement par un développeur consultant en RGPD !

Audit RGPD gratuit