Registre des traitements
Sommaire
Définition
Le registre des traitements est imposé aux Cantons par la directive UE 2016/680. Il participe à la documentation de la conformité.
Document de recensement et d’analyse, il doit refléter la réalité de vos traitements de données personnelles et vous permet d’identifier précisément :
-
les parties prenantes (représentant, sous-traitants, co-responsables, etc.) qui interviennent dans le traitement des données,
-
les catégories de données traitées,
-
à quoi servent ces données (ce que vous en faites), qui accède aux données et à qui elles sont communiquées,
-
combien de temps vous les conservez,
-
comment elles sont sécurisées.
Au-delà de la réponse à l’obligation prévue par la directive UE 2016/680, le registre est un outil de pilotage et de démonstration de votre conformité aux règles de la CPDT-JUNE. Il vous permet de documenter vos traitements de données et de vous poser les bonnes questions : ai-je vraiment besoin de cette donnée dans le cadre de mon traitement ? Est-il pertinent de conserver toutes les données aussi longtemps ? Les données sont-elles suffisamment protégées ? Etc.
Sa création et sa mise à jour sont ainsi l’occasion d’identifier et de hiérarchiser les risques au regard de la CPDT-JUNE. Cette étape essentielle vous permettra d’en déduire un plan d’action de mise en conformité de vos traitements aux règles de protection des données.
Contenu du registre de traitement
|
Le registre doit comporter toutes les informations suivantes : |
|
|
a. |
le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement et du délégué à la protection des données; |
|
b. |
les finalités du traitement; |
|
c. |
les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales; |
|
d. |
une description des catégories de personnes concernées et des catégories de données à caractère personnel; |
|
e. |
le cas échéant, le recours au profilage; |
|
f. |
le cas échéant, les catégories de transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale; |
|
g. |
une indication de la base juridique de l'opération de traitement, y compris les transferts, à laquelle les données à caractère personnel sont destinées; |
|
h. |
dans la mesure du possible, les délais prévus pour l'effacement des différentes catégories de données à caractère personnel; |
|
i. |
dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles. |
Registre de traitement des sous-traitants
|
Chaque sous-traitant d'un responsable de traitement tenu à l'obligation d'avoir un registre des traitements tient un registre de toutes les catégories d'activités de traitement effectuées pour le compte de celui-ci, comprenant : |
|
|
a. |
le nom et les coordonnées du ou des sous-traitants, de chaque responsable du traitement pour le compte duquel le sous-traitant agit et, le cas échéant, du délégué à la protection des données; |
|
b. |
les catégories de traitements effectués pour le compte de chaque responsable du traitement; |
|
c. |
le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, lorsqu'il en est expressément chargé par le responsable du traitement, y compris l'identification de ce pays tiers ou de cette organisation internationale; |
|
d. |
dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles. |
Accès aux registre des traitements
Le responsable du traitement et le sous-traitant mettent ces registres à la disposition de l'autorité de contrôle, sur demande.