Que doit contenir le registre ?
Pour chaque traitement de données opéré, le Registre du responsable du traitement devra contenir des informations spécifiques (article 30.1 du RGPD).
Le Registre peut également contenir des informations complémentaires, non listées dans le RGPD. L’APD recommande vivement aux entreprises et organismes de considérer ce Registre comme un outil interne d’aide à la mise en conformité avec le RGPD. Il peut contenir toute information complémentaire que le responsable de traitement et le sous-traitant jugeront utiles d’y faire figurer en fonction de leurs activités par exemple, la mention de la base légale du traitement, le relevé de toutes les violations de données à caractère personnel (art. 33.5 du RGPD).
Le contenu du Registre du sous-traitant est très légèrement différent de celui du responsable de traitement (article 30.2. du RGPD).
Inscrivez le nom et les coordonnées du responsable du traitement (et le cas échéant ajoutez celles du représentant) et du délégué à la protection des données si vous devez en désigner un ou si vous avez fait le choix d’en nommer un. Établissez également la liste de vos sous-traitants.
Identifiez les catégories de données traitées ainsi que les catégories de personnes concernées. Dans ce cadre, il peut être utile d’identifier de manière distincte les catégories particulières de données (art. 9 RGPD) et les données judiciaires (art. 10 RGPD).
Identifiez les finalités pour lesquelles les données sont traitées. La description de la finalité doit être la plus précise possible.
Indiquez les catégories de destinataires (en ce compris s’ils sont établis dans des pays tiers) auxquels les données sont transférées. Ajoutez les transferts vers un pays tiers ou une organisation internationale, y compris l’identification du pays et le cas échéant (art. 49.1. alinéa 2) les garanties appropriées existantes.
Indiquez pour chaque catégorie de données la durée de conservation. La durée de conservation ne doit pas nécessairement comprendre une durée en jours, mois, années mais peut également faire référence au temps nécessaire à la réalisation d’un projet concret.
Décrivez de manière générale quelles mesures de sécurité techniques et organisationnelles sont introduites pour garantir un niveau de sécurité adapté au risque.