Qu’est-ce qu’un registre des activités de traitement et qui est chargé de sa tenue?
Le registre des activités de traitement des données renseigne sur la manière dont les données (personnelles) sont traitées dans une entreprise. Ce registre a pour but de fournir à l’entreprise une bonne vue d’ensemble des opérations de traitement liées aux données personnelles. Par ailleurs, il s’agit d’un outil utile pour répondre rapidement à des demandes de renseignements.
Cependant, la tenue d’un registre des activités de traitement ne constitue pas une obligation pour toutes les entreprises. Si vous employez moins de 250 collaborateurs au début d’une année et si vous ne traitez pas de données personnelles sensibles ni ne pratiquez le profilage à risque élevé, vous n’êtes pas astreint à tenir un tel registre. Dans un souci de transparence et de sécurité juridique, nous vous recommandons toutefois d’introduire un tel registre.
La loi ne contient aucune prescription quant à la forme du registre des activités de traitement. Vous pouvez opter p. ex. pour un document excel ou word. Utilisez à cet effet notre modèle gratuit.
Aucunes sanctions immédiates ne sont encourues en cas de violation de l’obligation de tenir un registre des activités de traitement, mais le PFPDT peut rendre une décision imposant le respect d’obligations et dénoncer les infractions aux autorités de poursuite pénale compétentes. Dans le cadre d’une procédure pénale, la violation des obligations d’informer, de renseigner et de collaborer est passible d’amendes pouvant aller jusqu’à CHF 250 000.
Que doit contenir le registre des activités de traitement des données?
La loi prévoit que le registre des activités de traitement doit contenir au moins les indications suivantes:
- l’identité du responsable du traitement;
- la finalité du traitement;
- les catégories de personnes concernées et des données personnelles traitées;
- les catégories de destinataires des données personnelles;
- dans la mesure du possible, le délai de conservation des données personnelles (ou les critères pour déterminer la durée de conservation);
- dans la mesure du possible, des indications concernant les mesures visant à garantir la sécurité des données;
- en cas de communication de données personnelles à l’étranger, le nom de l’État concerné et les garanties en matière de protection des données.
Ce qu’il faut savoir
Efforcez-vous de maintenir le registre à jour car cela vous garantit à tout moment un bonne vue d’ensemble de toutes les opérations. Par ailleurs, cela vous aide au besoin à fournir rapidement des renseignements complets.
Même si le registre des activités de traitement est un document interne, le préposé fédéral à la protection des données personnelles et à la transparence (PFPDT) peut le contrôler dans le cadre d’une enquête. Si vous le tenez avec soin et à jour, le registre vous permet de fournir aisément la preuve du respect des prescriptions légales relatives à la protection des données.
Autres conseils juridiques et modèles concernant la protection des données
- Vers les douze points principaux
- Vers le point suivant: Élaborer une marche à suivre permettant de répondre rapidement aux demandes des personnes concernées
- Retour à l’aperçu des conseils juridiques