Les organisations de moins de 250 personnes doivent tenir un registre dans lequel elles décrivent leurs traitements de données dans les cas suivants :

  • Lorsque le traitement comporte un risque pour les droits et libertés des personnes concernées : le traitement est susceptible d’entraîner un dommage à la personne concernée ;
  • Lorsque le traitement porte sur des données sensibles ou des données judiciaires (données relatives aux infractions pénales et aux infractions ou aux mesures de sûretés connexes) ;
  • Lorsque le traitement de données personnelles est habituel (exemple : gestion du personnel).

L’autorité de protection des données considère que lorsqu’une petite organisation de moins de 250 personnes traite des données à caractère personnel de manière habituelle (non occasionnelle), elle peut limiter l’objet de son registre à ses traitements de données habituels.

Même dans les cas où la tenue d’un registre n’est pas obligatoire, elle est fortement recommandée par l’Autorité de protection des données car celui-ci permet de disposer d’une vue d’ensemble des traitements opérés et facilite ainsi la mise en conformité au RGPD.