D’une manière générale, chaque organisation doit tenir un registre de ses activités de traitement. Il s’agit d’un inventaire de toutes les opérations de traitement et peut vous aider à déterminer correctement vos responsabilités au regard du RGPD et les risques possibles.
Chacune de ces opérations de traitement doit être décrite dans le registre avec les informations suivantes :

• la finalité du traitement (par exemple, la fidélité du client) ;
• les catégories de données traitées (par exemple, pour les bulletins de salaire : nom, prénom, date de naissance, salaire, etc.) ;
• qui a accès aux données (ou destinataires, par exemple : le service en charge du recrutement, du service informatique, de la direction, ou des prestataires de services, des partenaires commerciaux...) ;
• Si nécessaire, les informations relatives aux transferts de données personnelles en dehors de l’Espace économique européen (EEE),
• dans la mesure du possible, la durée de conservation des données (c’est-à-dire la durée pendant laquelle les données sont utiles d’un point de vue opérationnel ou d’archivage).
• dans la mesure du possible, une description générale des mesures de sécurité.

Le registre des activités de traitement relève de la responsabilité du responsable de votre organisme.
Cet enregistrement doit être mis à la disposition de l’autorité de protection des données du pays de l’EEE où vous exercez vos activités, à leur demande.

Les organisations employant moins de 250 personnes n’ont pas d’obligation à indiquer des activités purement occasionnelles dans leur dossier (par exemple, les données traitées pour des évènements ponctuels tels que l’ouverture d’un magasin).

Plus d’informations :

• Se mettre en conformité