En réponse à de nombreuses demandes de clarification, le G29 a publié un « Position Paper » dans lequel il explique dans quelles mesures une entreprise de moins de 250 employés pourrait déroger à l’obligation de tenir un registre des activités de traitement en vertu de l’article 30 (5) du RGPD.
Le registre des activités de traitement est une nouvelle obligation créée par l’article 30 RGPD, qui impose aux responsables du traitement et aux sous-traitants de tenir un tel registre.
Ce registre doit comporter des informations telles que le nom et les coordonnées du responsable du traitement, les mesures de sécurité techniques et organisationnelles, les transferts de données vers des pays tiers, etc. Il est à noter que la nature de ces informations diffère selon que la personne réalisant le traitement soit un responsable du traitement ou un sous-traitant.
Le paragraphe 5 de l’article 30 indique que cette obligation de tenir un registre ne s’applique pas à une entreprise ou une organisation de moins de 250 employés, sauf si le traitement qu’elle effectue est susceptible de comporter un risque pour les droits et les libertés des personnes concernées, s’il n’est pas occasionnel ou s’il porte notamment sur des catégories particulières de données ou sur des données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10.
Le G29 a été saisi par un grand nombre de questions portant sur le fait de savoir si ces exceptions à la dérogation étaient alternatives ou cumulatives. La question était donc de savoir si une entreprise ou une organisation de moins de 250 employés pouvait échapper à l’obligation de tenir un registre si, par exemple, elle effectuait un traitement non occasionnel, mais que ce traitement n’était pas susceptible de comporter un risque pour les droits et libertés des personnes concernées et ne portait pas sur des catégories particulières de données, ni sur des données à caractère personnel relatives à des condamnations pénales ou à des infractions.
Le G29 répond clairement, dans cette publication, que la dérogation prévue par l’article 30 (5) du RGPD ne s’applique pas dans les cas suivants :
- les traitements susceptibles de comporter un risque pour les droits et libertés des personnes concernées ;
- les traitements qui ne sont pas occasionnels ;
- les traitements qui incluent des catégories particulières de données ou des données à caractère personnel relatives à des condamnations pénales ou à des infractions.
Le G29 précise que ces trois types de traitements auquel la dérogation ne s’applique pas sont alternatifs, et la présence d’un seul critère entraine donc l’obligation de tenir un registre des activités de traitement, même si l’entreprise ou l’organisation comporte moins de 250 employés.
Le G29 indique de plus qu’une entreprise, même de moins de 250 employés, est susceptible de traiter les données de ses employés. Un tel traitement ne pourrait être considéré comme occasionnel, et devrait donc faire l’objet d’une inscription au registre des activités de traitement.
Il apparait donc difficile, dans ces conditions, d’échapper à l’obligation de tenir un registre des activités de traitement, même pour les petites et très petites entreprises.
