Le registre des activités de traitement vise à recenser les traitements de données de l’établissement ou de la collectivité, pour disposer ainsi d’une vue d’ensemble des actions effectuées avec les données à caractère personnel recueillies.
Il identifie clairement :
- Les parties prenantes qui interviennent dans le traitement des données (sans omettre les sous- traitants) ;
- Les catégories de données à caractère personnel : identité, données en lien avec la vie personnelle, données financières… ;
- La finalité des traitements : à quoi servent ces données ;
- Les personnes accédant à ces données et les personnes à qui ces données peuvent être transmises ;
- La durée de conservation des données ;
- Les moyens mis en œuvre pour sécuriser ces données.
Sa tenue et sa mise à jour régulière sont obligatoires.
La création du registre des traitements permet de cerner et hiérarchiser les risques au regard du RGPD, et de déterminer l’objectif attendu derrière chaque recueil de données ainsi que la pertinence de celui-ci.
La CNIL propose un modèle de registre de base qui peut s’adapter à tout type de structure.
