Registre des traitements

Le registre des activités de traitement, prévu par l'article 30 du RGPD, est la documentation obligatoire tenue par le responsable de traitement (et son sous-traitant, distinct) listant les traitements de données personnelles : finalité, catégories de personnes et données, destinataires, transferts internationaux, durées de conservation, mesures de sécurité. Outil central de la démarche d'accountability, il doit être tenu sous forme écrite (papier ou électronique) et fourni sur demande à la CNIL. La dispense pour les entités < 250 salariés ne s'applique presque jamais car elle est conditionnée à l'absence de traitements à risque.