En tant que responsable du traitement ou sous-traitant, vous devez tenir une documentation interne relative au traitement des données à caractère personnel que vous effectuez, à savoir un registre des activités de traitement. L'article 30 du RGPD ne prévoit que très peu d'exceptions à cette obligation. Le contenu du registre est défini avec précision et offre une vue d'ensemble permettant de se conformer à toutes les obligations découlant du RGPD. Il s'agit d'un outil de contrôle pour l'Autorité de protection des données (APD).

Le responsable du traitement et les sous-traitants doivent tenir un registre des activités de traitement (article 30, paragraphe 1, du RGPD). Même s'ils ne sont pas établis sur le territoire de l'Espace économique européen et que le RGPD leur est applicable, le responsable du traitement et le sous-traitant doivent tenir un registre.

L'obligation de tenir un registre, parfois également appelée « obligation de documentation interne », ne s'applique pas aux entreprises de moins de 250 salariés, sous certaines conditions (art. 30, paragraphe 5, du RGPD). Le champ d'application de cette exception est toutefois très limité.

Si une petite organisation de moins de 250 personnes traite habituellement des données à caractère personnel (et non de manière occasionnelle (par hasard, par accident ou de manière imprévue)), comme c'est généralement le cas pour la gestion du personnel, elle peut limiter son registre à son traitement habituel des données. Les traitements strictement occasionnels ne doivent pas être inclus dans le registre. Cette limitation n'est toutefois possible que si ces traitements occasionnels ne comportent aucun risque ou ne concernent pas des données sensibles.

D'une manière générale, l'APD recommande à tous les responsables du traitement et sous-traitants de tenir un registre, car celui-ci offre une vue d'ensemble des traitements.

Le RGPD s'applique dans toute l'Union européenne (UE) depuis le 25 mai 2018. Le RGPD s'applique à toute personne qui traite des données à caractère personnel. Cela concerne donc aussi bien les grandes entreprises que les petites. Les pouvoirs publics sont également soumis au RGPD. Mais les particuliers relèvent eux aussi du RGPD lorsqu'ils traitent des données à caractère personnel, par exemple en installant une caméra près de leur domicile.

Le RGPD repose sur six principes fondamentaux. Ceux-ci sont énoncés à l'article 5 du RGPD. Toute personne qui traite des données à caractère personnel doit s'y conformer et être en mesure de le démontrer. C'est là le septième principe, qui chapeaute les autres : l'obligation de rendre compte.

Les six principes du RGPD sont les suivants :

• licéité, loyauté et transparence
• limitation de la finalité
• minimisation des données
• exactitude
• limitation de la conservation
• confidentialité et intégrité

Pour être licite, un traitement doit en tout état de cause reposer sur l'un des fondements prévus par le RGPD. De plus, le traitement ne doit pas être contraire à d'autres dispositions légales, telles qu'une obligation légale de confidentialité.

Le traitement doit également être « loyal ». Cela signifie qu'il ne doit pas être (de manière injustifiable) préjudiciable, discriminatoire, inattendu ou trompeur pour les personnes concernées.

En outre, les personnes concernées doivent savoir de manière transparente comment et pourquoi une organisation traite leurs données à caractère personnel. Cela signifie que l'organisation doit communiquer à ce sujet de manière ouverte et claire. Les personnes concernées ont le droit d'être informées afin de pouvoir décider elles-mêmes si elles souhaitent partager leurs données à caractère personnel avec l'organisation qui en fait la demande. Même si les personnes consentent à la communication de leurs données, elles ont droit à des informations claires

Les organisations ne peuvent collecter des données à caractère personnel qu'à des fins légitimes. Ces fins doivent être spécifiques et clairement définies au préalable. Les organisations ne peuvent donc pas collecter des données à caractère personnel à titre préventif, au motif qu'elles pourraient s'avérer utiles un jour.

La finalité pour laquelle une organisation traite des données à caractère personnel doit être compatible avec celle pour laquelle ces données ont été collectées. En bref, l'organisation ne peut pas soudainement traiter les données à une autre fin.

Cette exigence s'applique également à la communication de données à caractère personnel à une autre organisation (la communication est une forme de traitement).

Lorsque des organisations traitent des données à caractère personnel, elles doivent respecter le principe du « strict minimum ». Cela signifie, par exemple, que le traitement des données doit être proportionné à la finalité poursuivie et que l'organisation ne doit pas traiter plus de données que ce qui est nécessaire pour atteindre cette finalité.

Les organisations doivent veiller à l'exactitude des données. Elles doivent également les mettre à jour si nécessaire. Les personnes peuvent également demander aux organisations de modifier leurs données à caractère personnel si celles-ci sont inexactes. Les personnes ont un droit de rectification. Cela signifie qu'elles peuvent demander aux organisations de corriger leurs données à caractère personnel si celles-ci sont inexactes. Par exemple, après avoir introduit une demande d'accès auprès d'une organisation et découvert que leurs données sont inexactes ou incomplètes. Elles peuvent alors demander à l'organisation de modifier ou de compléter leurs données. Elles peuvent également demander à tout moment la suppression de leurs données.

Les organisations doivent supprimer les données à caractère personnel dès qu'elles ne sont plus nécessaires à la finalité initiale pour laquelle elles ont été collectées. En d'autres termes, les données à caractère personnel ont une date d'expiration. Toutefois, afin de tenir une bonne administration, les organisations doivent conserver certaines données à caractère personnel pendant un certain temps. Mais la conservation des données à caractère personnel ne doit pas dépasser ce qui est nécessaire. Le Règlement général sur la protection des données (RGPD) ne prévoit pas de délai de conservation concret pour les données à caractère personnel. Les organisations déterminent elles-mêmes la durée de conservation de ces données. Il est toutefois important qu'un délai de conservation soit indiqué dans le registre des activités de traitement pour les différentes catégories de données. Un délai de conservation ne doit pas nécessairement être exprimé en jours, semaines ou mois. Il peut également s'agir du délai nécessaire pour mener à bien un projet.

Les organisations doivent sécuriser correctement leurs traitements de données. Des règles particulièrement strictes s'appliquent aux données à caractère personnel sensibles. Les données à caractère personnel sensibles sont des données dont la confidentialité est si importante, par exemple les dossiers médicaux, les dossiers juridiques ou les opinions politiques, qu'un incident impliquant ces données (par exemple une fuite de données) peut avoir un impact considérable sur la personne concernée. Le RGPD prévoit une protection supplémentaire pour ces données. Chaque organisation qui traite des données à caractère personnel doit déterminer elle-même les mesures de sécurité nécessaires. L'organisation doit également être en mesure de démontrer qu'elle prend la sécurité au sérieux et qu'elle y accorde une attention constante.

La réponse est simple : oui. Le principe de base du RGPD est clair : chaque fois que vous traitez les données à caractère personnel d'une personne, cela constitue une atteinte à sa vie privée. Vous ne pouvez donc traiter ces données que si vous n'avez vraiment pas d'autre choix. En d'autres termes : sans le traitement de ces données à caractère personnel, vous ne pouvez pas atteindre votre objectif.

Le RGPD énumère 6 fondements ou motifs justifiant le traitement de ces données.

• Consentement de la personne concernée
• Nécessité à l'exécution d'un contrat
• Obligation légale
• Protection d'intérêts vitaux
• Exécution d'une mission d'intérêt public ou d'autorité publique
• Défense de votre intérêt légitime

Il est important que vous mentionniez une base (raison) dans votre déclaration de confidentialité afin que les personnes concernées sachent à l'avance sur quelle base vous vous appuyez pour traiter les données. Veillez également à inclure cette base dans votre registre des traitements. Sachez que vous devez toujours être en mesure de justifier pourquoi vous invoquez cette base. Il est donc utile d'inclure également la base juridique dans votre politique de confidentialité afin de pouvoir respecter votre obligation de rendre compte.

Les entreprises ou organisations invoquent souvent un intérêt légitime comme fondement, car c'est généralement celui qui correspond le mieux à leurs activités. Pour cela, trois conditions doivent toutefois être remplies.

1. Vous devez être en mesure de démontrer clairement l'existence d'un intérêt légitime. Il doit y avoir un lien évident avec les activités de l'entreprise.
2. Le traitement est nécessaire pour réaliser cet intérêt. Vous devez vous demander s'il existe d'autres moyens ayant moins d'impact sur les données à caractère personnel pour défendre votre intérêt et atteindre votre objectif.
3. Vous avez parfaitement mis en balance les intérêts de l'organisation et ceux des personnes concernées. Il est important de noter que l'intérêt légitime ne doit pas être annulé par les intérêts des personnes concernées dans le cas où l'organisation a tenu compte des attentes raisonnables de ces dernières concernant le traitement des données à caractère personnel.

Un registre des activités de traitement, parfois appelé « registre des données », doit être établi par écrit. Il peut être tenu sous forme électronique. Il ne peut pas exister simultanément sous forme papier et sous forme électronique (point 30.3 du RGPD). Il doit être lisible et compréhensible pour l'Autorité de protection des données (APD).

Le registre doit également être mis à jour en fonction du développement et de l'évolution des activités de l'entreprise ou de l'organisation concernée. Compte tenu de la « responsabilité » des responsables du traitement et des sous-traitants, il peut être utile de conserver ces informations jusqu’à 5 ans après la fin du traitement, en mentionnant la date à laquelle le traitement a pris fin. L'APD peut demander à consulter le registre afin de vérifier les informations relatives aux traitements, même après la cessation de ceux-ci.

L'entreprise ou l'organisation peut déterminer la langue dans laquelle le registre est rédigé. L'APD peut toutefois demander une traduction du registre dans l'une des langues nationales, aux frais de l'entreprise ou de l'organisation.