Recommandation Nº 6/2017. Commission pour la Protection de la Vie Privýe, 2017-06-14

CourtCommission pour la Protection de la Vie Privýe
Docket NumberF-20170614-11
1/35
Recommandation n° 06/2017 du 14 juin 2017
Objet: Recommandation relative au Registre des activités de traitements (article 30 du RGPD)
(CO-AR-2017-011)
La Commission de la protection de la vie privée ;
Vu la loi du 8 décembre 1992
relative à la protection de la vie privée à l'égard des traitements de
données à caractère personnel
(ci-après LVP), en particulier l'article 30 ;
Vu le rapport de Monsieur Willem Debeuckelaere;
Émet, le 14 juin 2017, la recommandation suivante:
Recommandation 06/2017 - 2/35
INTRODUCTION
1. Le Règlement général sur la protection des données (ci-après RGPD)1 est entré en vigueur le
24 mai 2016 et sera d’application à dater du 25 mai 2018.
2. Au chapitre IV du RGPD qui énonce les obligations des responsables de traitement et des
sous-traitants, l’article 30 met à charge des responsables de traitement
et
des sous-traitants
une obligation de tenir un registre des activités de traitement (ci-après le Registre). Un certain
nombre d’informations
relatives aux traitements opérés
doivent figurer dans ce Registre2 :
dans quel but sont-elles traitées, quelles sont les catégories de personnes concernées par les
données traitées, quels sont les destinataires des données, quel est leur délai de
conservation etc.
3. La Commission de la protection de la vie privée (ci-après la CPVP) reçoit un grand nombre de
questions relatives à ce Registre. Partant, elle adopte la présente recommandation afin de
guider les responsables de traitement et les sous-traitants dans la préparation de celui-ci d’ici
au 25 mai 2018, date à partir de laquelle ce Registre devra être en place et date à partir de
laquelle la CPVP pourra également demander qu’il soit mis à sa disposition, dans le cadre de
contrôles par exemple.
4. Pour établir ce Registre, la/les déclaration(s) préalable(s) de traitement prévue(s) à l’article
17 de la Loi Vie privée (ci-après LVP) que les responsables de traitement ont introduit auprès
de la CPVP pourra/ pourront, dans une certaine mesure, être utile(s). Il sera précisé dans
cette recommandation dans quelles limites, cette ou ces déclaration(s) de traitement
introduite(s) et disponibles via le Registre public en ligne pourra/pourront être exploitée(s).
5. La recommandation abordera les questions suivantes :
a. Qui doit tenir un Registre ? Existe-t-il des exceptions ?
b. Pourquoi cette obligation de tenir un Registre ?
c. Que doit contenir le Registre ? Quelles informations ?
d. Comment établir le Registre ?
e. A qui est-il destiné ?
f. Quelle(s) sanction(s) ?
1 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protec tion des personnes physiques
à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive
95/46/CE (règlement général sur la protection des données),
JO, L 119, 4.5.2016, pp. 188.
2 On le verra, ces informations varient selon que le traitement est opéré par un responsable de traitement ou par un sous-
traitant conformément aux instructions du responsable de traitement.
Recommandation 06/2017 - 3/35
a. Qui doit tenir un tel Registre ?
6. L’obligation s’adresse à la fois :
- Au responsable de traitement
- Au sous-traitant
Le responsable de traitement
7. Aux termes de l’article 30.1. du RGPD, le responsable du traitement - et son représentant
le cas échéant3 - devra, sauf exceptions (voy. infra) tenir un registre des activités de
traitement de données qui ont lieu sous sa responsabilité.
8. La notion de responsable de traitement est définie à l’article 4 (7) du RGPD comme
« la
personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul
ou conjointement avec d’autres, détermine les finalités et les moyens du traitement.
Peuvent
donc être qualifiés de « responsable de traitement » les autorités publiques, les organismes
publics, les personnes morales quelle que soit leur forme juridique (SPRL, SA, fondations, GIE
(groupement d’intérêt économique), SCRL, SNC, ASBL, …) mais aussi des personnes
physiques, personnes privées ou travailleurs indépendants par exemple (comptables,
réviseurs d’entreprises, avocat, pharmacien, architecte, médecin, dentiste, infirmier, sage-
femme, les professions paramédicales, les commerçants, …). Cette notion ne diffère pas de
celle de la LVP actuelle. Il s’agit d’une notion autonome qui n’implique pas, par exemple, que
l’entité qui détermine les finalités et les moyens dispose de la personnalité juridique (société
momentanée, association de fait, …). 4
9. A la lecture du texte, tant le responsable de traitement que son représentant, si représentant
il y a, doivent tenir un registre des traitements (« tiennent » un registre est par ailleurs utilisé
au pluriel dans la version française). Dans le cas où le responsable de traitement ne dispose
pas d’établissement sur le territoire de l’Union mais se voit appliquer le RGPD5, il est en effet
tenu de désigner un représentant en application de l’article 27.
10. Il n’est toutefois, de l’avis de la CPVP, nullement nécessaire que chacun du responsable de
traitement
et
de son représentant établisse un tel Registre. Un Registre unique est admis
3 Voy. l’article 27 du RGPD relatif au représentant des responsables du traitement et des sous-traitants qui ne sont pas établis
dans l’Union. Dans cette hypothèse, la désignation d’un représentant est obligatoire.
4 Pour plus de détails sur la notion de « responsable de traitement », voy. l’ Avis 1/2010 sur les notions de « responsable du
traitement » et de « sous-traitant » (WP169, adopté le 1 6 février 2010) du Groupe de l’Article 29.
5 Voy. l’article 3.2. du RGPD.

Pour continuer la lecture

SOLLICITEZ VOTRE ESSAI