Dès l’entrée en vigueur du RGPD (Règlement Général sur la Protection des Données) le 25 mai 2018, un nombre important  d’entreprises aura l’obligation de tenir un registre des activités de traitement. Le registre remplacera l’actuelle obligation de notification à la Commission vie privée. Il ressort d’une récente recommandation de la Commission vie privée que cette obligation de tenir un registre est très large, et qu’elle s’applique quasiment à toutes les entreprises. La Commission vie privée a également publié un modèle de registre cette semaine.

Nous avions, dans notre newsflash du 23 mars 2017, donné un aperçu des entreprises sur lesquelles repose l’obligation de tenue d’un registre.

Conformément au RGPD, toute entreprise - quelle que soit sa taille - qui traite des données à caractère personnel « de manière non occasionnelle » doit tenir un registre. Dans sa récente recommandation, la Commission vie privée précise que la gestion de la clientèle, la gestion du personnel ou la gestion de fournisseurs doivent être considérées comme des traitements habituels et donc, « non occasionnels ». Bien que ces traitements bénéficient encore actuellement d’une exception de notification à la Commission vie privée, ils devront donc bien être repris dans un registre des activités de traitement dès l’entrée en vigueur du RGPD. La Commission vie privée revient donc, à cet égard, sur son précédent point de vue selon lequel de tels traitements, qui bénéficient actuellement d’une exemption de notification, pouvaient être considérés comme « occasionnels » et, par conséquent, ne pas donner lieu à l’obligation de tenue d’un registre.

Ce nouveau point de vue de la Commission vie privée implique que toute entreprise qui conserve des informations relatives à son personnel, ses clients et/ou ses fournisseurs, devra tenir un registre des activités de traitement. En pratique, il est très probable que, à des rares exceptions, toute entreprise doive tenir un registre. La détermination des traitements qui doivent être repris dans le registre peut encore varier en fonction de la taille de l’entreprise.

La Commission vie privée confirme encore qu’elle recommande, d’une manière générale, aux responsables du traitement, et aux sous-traitants, d’établir un registre dans le cadre du « principe de responsabilité ».

De plus, la Commission vie privée précise que le registre peut être tenu, tant sous format électronique que sous format papier, et qu’il s’agit d’une obligation « dynamique » en ce sens que le registre doit être tenu à jour de manière continue.

La Commission vie privée a publié cette semaine un modèle de registre, en néerlandais et en français, qui peut constituer une première aide pour identifier les flux de données au sein de l’entreprise. La Commission vie privée précise que le document n’est pas un document officiel, et que d’autres registres sont également acceptés. En tout état de cause, le registre devra être établi sur mesure pour l’entreprise. Le modèle de registre peut être téléchargé via ce lien.

> Point d’action
Sauf rares exceptions, toute entreprise qui traite des données à caractère personnel devra tenir un registre des activités de traitement. Claeys & Engels est à votre disposition pour vous assister à cet égard.