Le RGPD prévoit que les entrepreneurs tiennent un registre des activités de traitement (VVT) (article 30 du RGPD). Dans cette première partie sur le VVT, vous apprendrez qui doit tenir un tel registre et quelles sont les conséquences en cas de violation.
Lire ici la partie 2 de la série VVT sur le contenu d'un VVT.
Pourquoi un VVT ?
L'obligation de tenir un VVT est stipulée à l'article 30 du RGPD. Ce registre constitue le noyau de tout système de gestion de la protection des données (SGPD).
Le registre permet d'avoir une vue d'ensemble de toutes les opérations de traitement qui ont lieu dans une entreprise. Ces opérations peuvent être contrôlées plus facilement grâce à cet aperçu. Il est également plus facile d'évaluer les risques et d'identifier les mesures à prendre.
Le principe de responsabilité (article 5 II du RGPD) est également à l'origine de la réglementation sur le VVT. En outre, elle renforce le contrôle et la transparence.
Quand le VVT est-il obligatoire ?
Conformément à l'article 30 du RGPD, chaque responsable du traitement et chaque sous-traitant est en principe tenu de tenir un VVT. Le contenu des inventaires diffère selon que le responsable de l'inventaire est un responsable du traitement ou un sous-traitant. Pour le responsable, c'est la liste de l'article 30 I du RGPD qui s'applique, alors que pour le sous-traitant, c'est la liste de l'article 30 II du RGPD.
Pour en savoir plus sur le contenu d'un VVT ici.
Les définitions de responsable du traitement et de sous-traitant se trouvent à l'article 4, points 7 et 8 du RGPD. Pour en savoir plus sur la distinction entre responsable du traitement et sous-traitant, voir ici.
Quand suis-je exempté de l'obligation de tenir un VVT ?
Si le responsable emploie moins de 250 travailleurs, il peut en principe être dispensé de tenir un VVT. Il existe toutefois trois exceptions à cette exemption : Un VVT est à nouveau obligatoire en cas de traitement présentant un risque pour les droits et libertés des personnes concernées (p. ex. mesures de surveillance), qui n'est pas occasionnel ou qui concerne des catégories particulières de données (art. 9 ou 10 RGPD). C'est justement la deuxième exception (traitement régulier) qui englobe presque toutes les entreprises, de sorte que dans la grande majorité des cas, les entreprises de moins de 250 salariés sont également tenues de tenir un RVT.
Que se passe-t-il en cas d'infraction ?
Si une personne tenue de tenir un VVT ne tient pas de VVT ou le tient de manière incomplète, cela constitue une infraction au sens de l'article 84 IV, lettre a du RGPD.
L'autorité de contrôle compétente peut alors infliger une amende.
Vous avez besoin d'aide en matière de VVT et de protection des données ? Nous nous proposons comme délégués externes à la protection des données. N'hésitez pas à nous contacter pour plus d'informations sur nos services !
Pour accéder à la deuxième partie sur le VVT, cliquez ici. ici.