Obligation de tenir un registre des activités de traitement
Obligation de tenir un registre des activités de traitement
APDP | 23 janvier 2025Un sous-traitant doit tenir un registre des activités de traitement effectuées sous sa responsabilité dès lors qu’il compte au moins 50 salariés.
Ce seuil de 50 salariés ne s’applique toutefois pas dans 4 cas :
- si le traitement est susceptible de comporter un risque pour les droits et libertés des personnes concernées ;
| Exemple : mise en place d’un dispositif de géolocalisation. |
- si le traitement n’est pas occasionnel ;
| Exemple : gestion des fichiers clients |
- si le traitement porte sur des données sensibles ;
| Exemple : données de santé |
- si le traitement porte sur des données personnelles relatives à des infractions, des condamnations pénales et mesures de sûreté ou portant sur des soupçons d’activités illicites.
| Exemple : traitement relatif à la lutte anti-blanchiment. |
Le registre tenu par le sous-traitant a vocation à remplacer une grande partie des formalités préalables qui étaient instituées par la Loi n° 1.165 du 23 décembre 1993, modifiée.
Que doit contenir le registre des activités ?
Le chiffre 2 de l’article 27 de la Loi prévoit que le registre tenu par le sous-traitant doit a minima contenir les indications suivantes :
- le nom et les coordonnées du sous-traitant et de chaque responsable du traitement pour le compte duquel il agit, ainsi que, le cas échéant, le nom et les coordonnées du représentant du responsable du traitement ou du sous-traitant et du délégué à la protection des données ;
- les catégories de traitements effectués pour le compte de chaque responsable du traitement ;
- dans la mesure du possible, une description générale des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté aux risques pour les droits et libertés des personnes physiques ;
- en cas de transfert de données personnelles hors de la Principauté, l’identification du pays destinataire, du territoire ou de l’organisation internationale et, le cas échéant, les garanties prévues.
Quelle est la sanction encourue en cas de manquement à l’obligation de tenir un registre des traitements ?
L’article 53 prévoit que le manquement à l’obligation de tenir un registre des traitements est puni d’une amende administrative ne pouvant excéder 5.000.000 euros ou, dans le cas d’une entreprise, jusqu’à 2% du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.