CONTACT

Sanction en raison d’un registre des traitements mal renseigné

26 janvier 2026 | Alexandre Fievée et Valentin Vauge|

Sanction en raison d’un registre des traitements mal renseigné

L’autorité de contrôle luxembourgeoise a sanctionné un responsable du traitement pour n’avoir pas suffisamment bien renseigné son registre des traitements. 

I/ Le contrôle aléatoire du registre des traitements

Des agents de l’autorité luxembourgeoise de contrôle ont réalisé un contrôle sur place aléatoire dans les locaux d’un responsable du traitement. 

A cette occasion, les agents ont demandé qu’il leur soit fourni le registre des traitements du responsable du traitement, ce qui a été fait. 

Au cours de leur enquête, les agents de l’autorité ont constaté des manquements dans le registre des traitements.

II/ Les manquements constatés dans le registre des traitements

Il ressort de l’article 30 du RGPD que : 

« 1. Chaque responsable du traitement […] tiennent un registre des activités de traitement effectuées sous leur responsabilité. Ce registre comporte toutes les informations suivantes :

a) le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données ; […]

c) une description des catégories de personnes concernées et des catégories de données à caractère personnel ; […]

f) dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de donnée ».

En l’espèce, l’autorité de contrôle luxembourgeoise a considéré que les dispositions rappelées ci-dessus n’avaient pas été respectées car :

  • D’une part, les fiches de traitement « ne comportaient ni le nom et les coordonnées du responsable du traitement, ni les coordonnées du délégué à la protection des données. Seul le nom du délégué à la protection des données du contrôle figurait dans chaque fiche de traitements » ;
  • D’autre part, certaines fiches de traitement indiquaient que des « données relatives à des opinions politiques » et des « donnée relatives à des condamnations pénales et des infractions » étaient traitées, mais sans aucune « description ». Or, selon l’autorité, « il ne suffit pas de mentionner uniquement une liste de catégories génériques sans description » ;
  • Enfin, pour certaines catégories de données, aucun délai pour l’effacement n’était prévu ou le délai renseigné était imprécis (le registre indiquait, par exemple, une suppression « dès que possible après la fin de l’emploi »).

Compte tenu de ce qui précède, l’autorité de contrôle a infligé au responsable du traitement une amende de 7 000 €.

Source : CNPD (Luxembourg), 30 avril 2025, n° 3/FR/2025

    articles similaires

    | Alexandre Fievée et Alice Robert

    Un registre des traitements encore plus « allégé » pour les petites et moyennes entreprises ?

    L’EDPB et l’EDPBS ont accueilli favorablement, dans l’ensemble, la proposition de la Commission européenne visant à ce que le registre des traitements « allégé » profite à un panel plus...

    30 Mars 2017 | François-Pierre LANI

    GDPR : quels outils faut-il commencer a mettre en place pour atteindre la conformité ?

    Pour y voir plus clair dans le nouveau règlement européen sur la protection des données privées...

    Personnalisation des cookies

    Cookies strictement nécessaires

    Cette option doit être activée à tout moment afin que nous puissions enregistrer vos préférences pour les réglages de cookie.

    Cookies de mesures d'audience

    Ce site utilise Matomo à des fins statistiques (cookies de mesure d’audience). Ils permettent de savoir combien de fois une page déterminée a été consultée. Nous utilisons ces informations uniquement pour améliorer le contenu de notre site Internet.

    Il s’agit des cookies suivants :

    _ga : Ce cookie permet d’identifier les visiteurs du site via l’adresse IP de l’utilisateur. Elle est ensuite anonymisée par Matomo Analytics.

    _gat_gtag_UA_162039697_1 : Ce cookie permet de limiter le nombre de requêtes simultanées au site et d’éviter les bugs

    _gid : Ce cookie permet d’identifier les visiteurs du site via leur adresse IP (conservation de 24h). Elle est ensuite anonymisée par Matomo Analytics.

    Vous pouvez consulter la page dédié à la protection des données de Matomo