RGPD - Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données

Article 30 - Registre des activités de traitement

Version en vigueur

Entrée en vigueur :	24 mai 2016

1. Chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement tiennent un registre des activités de traitement effectuées sous leur responsabilité. Ce registre comporte toutes les informations suivantes:

a)	le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données;

b)	les finalités du traitement;

c)	une description des catégories de personnes concernées et des catégories de données à caractère personnel;

d)	les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales;

le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l'article 49, paragraphe 1, deuxième alinéa, les documents attestant de l'existence de garanties appropriées;

f)	dans la mesure du possible, les délais prévus pour l'effacement des différentes catégories de données;

g)	dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l'article 32, paragraphe 1.

2. Chaque sous-traitant et, le cas échéant, le représentant du sous-traitant tiennent un registre de toutes les catégories d'activités de traitement effectuées pour le compte du responsable du traitement, comprenant:

le nom et les coordonnées du ou des sous-traitants et de chaque responsable du traitement pour le compte duquel le sous-traitant agit ainsi que, le cas échéant, les noms et les coordonnées du représentant du responsable du traitement ou du sous-traitant et celles du délégué à la protection des données;

b)	les catégories de traitements effectués pour le compte de chaque responsable du traitement;

d)	dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l'article 32, paragraphe 1.

3. Les registres visés aux paragraphes 1 et 2 se présentent sous une forme écrite y compris la forme électronique.

4. Le responsable du traitement ou le sous-traitant et, le cas échéant, leur représentant mettent le registre à la disposition de l'autorité de contrôle sur demande.

5. Les obligations visées aux paragraphes 1 et 2 ne s'appliquent pas à une entreprise ou à une organisation comptant moins de 250 employés, sauf si le traitement qu'elles effectuent est susceptible de comporter un risque pour les droits et des libertés des personnes concernées, s'il n'est pas occasionnel ou s'il porte notamment sur les catégories particulières de données visées à l'article 9, paragraphe 1, ou sur des données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article 10.

Décisions • 67

Afficher tout (67)

1. CJUE, n° C-579/21, Conclusions de l'avocat général de la Cour, Procédure engagée par J.M, 15 décembre 2022

[…] « Le sous-traitant et toute personne agissant sous l'autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne peut pas traiter ces données, excepté sur instruction du responsable du traitement, à moins d'y être obligé par le droit de l'Union ou le droit d'un État membre. » 9. L'article 30 (« Registre des activités de traitement ») dudit règlement prévoit : « 1. Chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement tiennent un registre des activités de traitement effectuées sous leur responsabilité. Ce registre comporte toutes les informations suivantes : a)

Rapprochement des législations·
Protection des données·
Responsable du traitement·
Personne concernée·
Personnel·
Caractère·
Information·
Traitement de données·
Salarié·
Autorité de contrôle

2. CADA, Conseil du 15 décembre 2022, Caisse nationale des allocations familiales (CNAF), n° 20225787

[…] La commission rappelle, en deuxième lieu, que l'article 30 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, dit règlement général sur la protection des données (RGPD), prévoit que chaque responsable d'un traitement de données à caractère personnel et, le cas échéant, son représentant, tiennent, sous forme écrite, y compris électronique, un registre des activités de traitement effectuées sous leur responsabilité.

Commission·
Cnil·
Code source·
Communication·
Divulgation·
Administration·
Protection des données·
Document administratif·
Traitement de données·
Risque

3. CJUE, n° C-60/22, Demande (JO) de la Cour, 1er février 2022

[…] Le manquement du responsable du traitement à tout ou partie de la responsabilité qui lui incombe conformément à l'article 5 du règlement général sur la protection des données (RGPD) (1), résultant, par exemple, de l'absence de registre — ou de registre complet — des activités de traitement au sens de l'article 30 du RGPD ou de l'absence d'accord définissant une procédure conjointe en application de l'article 26 du RGPD, a-t-il pour conséquence que le traitement des données est illicite au sens de l'article 17, paragraphe 1, sous d), du RGPD et de l'article 18, paragraphe 1, sous b), du RGPD, de sorte que la personne concernée dispose d'un droit à l'effacement ou d'un droit à la limitation du traitement?

Droit de l'informatique·
Protection des données·
Données personnelles·
Procédure judiciaire·
Traitement de données·
Responsable du traitement·
Personne concernée·
Effacement·
Allemagne·
Question

Testez Doctrine gratuitement
pendant 7 jours

Démarrer

Vous avez déjà un compte ?Connexion

Afficher tout (67)

Commentaires • 69

Afficher tout (69)

1. Fuite de données : la cybersécurité plus que jamais nécessaire pour assurer la conformité d’un traitement de données personnelles au RGPD.

www.alerionavocats.com · 26 mars 2024

Toujours en application du RGPD, la responsabilité civile[7] ou pénale du responsable de traitement pourra également être engagée : « procéder ou faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites aux art. 24, 25, 30 et 32 » du RGPD expose en effet son responsable à cinq ans d'emprisonnement et à 300 000 euros d'amende (art. 226-17 du Code pénal). […] NB : MOVEit est une solution logicielle offrant un transfert sécurisé de fichiers […] [7] Article 82 du RGPD prévoyant le droit à réparation de la personne ayant subi un préjudice en raison de la violation du Règlement

2. Le RGPD dans la fonction RH.

Village Justice · 20 décembre 2023

L'article 30, par exemple, stipule l'obligation pour le responsable du traitement de tenir un registre des données RGPD, documentant les activités de traitement effectuées. […]

3. L’encadrement des systèmes d’IA sous le prisme de la protection de la vie privée

Haas Avocats · Haas avocats · 1^er décembre 2023

Il ressort des dispositions de l'article 5.1,c) du RGPD qu'en vertu du principe de minimisation des données personnelles collectées et traitées, celles-ci doivent être : « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ». […] article 30 du RGPD ;

Testez Doctrine gratuitement
pendant 7 jours

Démarrer

Vous avez déjà un compte ?Connexion

Afficher tout (69)

Doctrine / Droit de l'Union Européenne / Règlements / 2016 / Règlement RGPD n°2016/679