Obligation de tenir un registre des activités de traitement
Obligation de tenir un registre des activités de traitement
APDP | 23 janvier 2025En vertu de l’article 27 de la Loi, un responsable du traitement doit tenir un registre des activités de traitement effectuées sous sa responsabilité dès lors qu’il compte au moins 50 salariés.
Ce seuil de 50 salariés ne s’applique toutefois pas dans 4 cas :
- si le traitement est susceptible de comporter un risque pour les droits et libertés des personnes concernées ;
| Exemple : mise en place d’un dispositif de géolocalisation. |
- si le traitement n’est pas occasionnel ;
| Exemple : gestion des fichiers clients |
- si le traitement porte sur des données sensibles ;
| Exemple : données de santé. |
- si le traitement porte sur des données personnelles relatives à des infractions, des condamnations pénales et mesures de sûreté ou portant sur des soupçons d’activités illicites.
| Exemple : traitement relatif à la lutte anti-blanchiment. |
Le registre tenu par le responsable du traitement a vocation à remplacer une grande partie des formalités préalables qui étaient instituées par la Loi n° 1.165 du 23 décembre 1993, modifiée.
Que doit contenir le registre des activités ?
Il doit a minima contenir les indications suivantes :
- le nom et les coordonnées du responsable du traitement et, le cas échéant, de son responsable conjoint, de son représentant et de son délégué à la protection des données ;
- les finalités du traitement ;
- les catégories de personnes concernées et catégories de données personnelles traitées ;
- les catégories de destinataires ;
- dans la mesure du possible, le délai de conservation des données personnelles, ou les critères pour déterminer cette durée ;
- dans la mesure du possible, une description générale des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté aux risques pour les droits et libertés des personnes physiques ;
- en cas de transfert de données personnelles hors de la Principauté, l’identification du pays destinataire, du territoire ou de l’organisation internationale et, le cas échéant, les garanties prévues ;
- le cas échéant, le recours au profilage pour les traitements mis en œuvre à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuite en la matière ou d’exécution de sanctions pénales ;
- une indication de la base juridique de l’opération de traitement, y compris les transferts, pour :
-
- les traitements mis en œuvre à des fins de prévention et de la détection des infractions pénales, d’enquêtes et de poursuite en la matière ou d’exécution de sanctions pénales ou
- les traitements qui intéressent la sécurité nationale.
Quelle est la sanction encourue en cas de manquement à l’obligation de tenir un registre des traitements ?
L’article 53 prévoit que le manquement à l’obligation de tenir un registre des traitements est puni d’une amende administrative ne pouvant excéder 5.000.000 euros ou, dans le cas d’une entreprise, jusqu’à 2% du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.