Association et RGPD (GDPR) : doit-on tenir un registre des traitements ?

Le GDPR (general data protection regulation) ou RGPD (Réglementation Générale sur la Protection des Données), est entré en vigueur le 25 mai 2016 et sera applicable à partir du 25 mai 2018. Dès lors, la CNIL pourra sanctionner les organismes pour non-respect du GDPR. Or, l’une des nouvelles obligations phare du règlement est la tenue d’un registre des activités de traitement (art. 30 GDPR). Cette obligation s’applique t-elle aux associations?

Qu’est ce qu’un registre

Un registre n’est autre qu’un fichier qui comporte toutes les informations importantes pour prouver le respect du GDPR. Ainsi, ce dernier comporte (voir Article 30 pour plus de détails: nous présentons ici un résumé de cet article):

a) le nom et les coordonnées du responsable du traitement

b) les finalités du traitement

c) une description des catégories de personnes concernées et des catégories de données à caractère personnel;

d) les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées;

e) les délais prévus pour l’effacement des différentes catégories de données;

f) une description générale des mesures de sécurité techniques et organisationnelles. Et toute information en ce qui concerne les sous-traitants.

A qui s’applique l’obligation de tenir un registre des activités de traitement?

Cette obligation ne s’applique qu’aux organismes de 250 employés et plus.

Mon association est-elle obligée de tenir un registre des activités de traitement?

Probablement pas, mais attention, le fait que vous ayez moins 250 salariés ne signifie pas forcément une totale exonération. En effet, les organismes qui effectuent des traitements sensibles de façon non occasionnel ou qui concernent certaines catégories de personnes ou des données relatives à des condamnations pénales et à des infractions doivent aussi se plier à l’exercice. Probablement votre association n’est donc pas concernée, mais elle peut, si elle le désire et pour des raisons de clarté, tenir ce registre.

Exemple de registre de la CNIL

Tenir un tel registre peut vous permettre de cartographier vos données et de vous assurer que vous êtes en conformité avec le règlement. Vous pouvez cliquer sur le modele-de- registre-GDPR  ou le télécharger directement du site de la CNIL.

Pour plus d’information sur le sujet, voir nos articles précédents:

Pour recevoir le guide complet, cliquez ici:

Comment préparer votre association à la nouvelle Réglementation Générale sur la Protection des Données ?

Mon association est-elle soumise à la nouvelle Réglementation Générale sur la Protection des Données ?

Règlement européen sur la protection des données (GDPR ou RGPD) et association: faut-il désigner un délégué à la protection des données (DPO) ?

Le site web de votre association est-il conforme à la Réglementation Générale sur la Protection des Données (RGPD ou GDPR) ?

Mon association peut-elle faire du profilage de donateur sous le règlement européen sur la protection des données (RGPD ou GDPR) ?

Mon association peut-elle faire du profilage de donateur sous le règlement européen sur la protection des données (RGPD ou GDPR) ?

Comment améliorer la qualité des données de votre association avant l’entrée en vigueur du règlement européen sur la protection des données (GDPR ou RGPD)

Le règlement européen sur la protection des données: que doit faire mon association en cas de violation de ses données ?