Ce registre permet de disposer d’une vue d’ensemble des traitements de données à caractère personnel opérés par l’organisme. Le RGPD impose que celui-ci soit tenu par écrit, sous format papier ou électronique. Dans tous les cas, il doit être clair, compréhensible et régulièrement mis à jour lorsqu’une évolution des activités le requiert.

Le registre est un document interne à l’organisme. Toutefois, il doit pouvoir être fourni sur demande de l’Autorité de protection des données qui pourrait vouloir y accéder dans le cadre de sa mission de contrôle.

Pour chaque activité de traitement recensée, le registre des activités de traitement doit contenir les informations suivantes :

  • Le nom et coordonnées du responsable du traitement et du délégué à la protection des données ;
  • Les catégories de données traitées, en précisant celles qui sont sensibles, ainsi que leur durée de conservation ;
  • Les finalités pour lesquelles les données sont traitées ;
  • Les catégories de personnes concernées ;
  • Les catégories de destinataire auxquels les données sont transférées ;
  • Les mesures de sécurité technique et organisationnelles mises en place pour garantir un niveau de sécurité adapté au risque.