# Registre des traitements

L'article 30 du RGPD impose à chaque responsable du traitement d'établir un registre des traitements sous sa responsabilité. Ce registre doit contenir toutes ces informations (certaines d'entre elles sont les mêmes que celles à partager avec les clients).

* Le nom et les coordonnées du sous-traitant et, le cas échéant, du responsable conjoint du traitement, du représentant du sous-traitant et du délégué à la protection des données : ils sont inclus dans l'obligation d'information des articles 13 et 14 du RGPD.).
* Les finalités du traitement : elles sont incluses dans l'obligation d'information des articles 13 et 14 du RGPD.
* Une description des personnes concernées et des données concernées.
* Les destinataires auxquels les données ont été ou seront communiquées, y compris les destinataires de pays étrangers ou d'organisations internationales : ils sont inclus dans l'obligation d'information des articles 13 et 14 du RGPD.
* Le cas échéant, le transfert de données personnelles vers un pays étranger ou une organisation internationale, y compris l'identification du pays ou de l'organisation internationale et, lorsqu'il est effectué au titre de l'article 49, paragraphe 1, deuxième alinéa, les documents attestant l'existence de garanties appropriées : ils sont inclus dans l'obligation d'information des articles 13 et 14 du RGPD.
* Les délais fixés pour la suppression des données : ils sont inclus dans l'obligation d'information des articles 13 et 14 du RGPD.
* Lorsque cela est possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l'article 32 (par exemple la pseudonymisation et le chiffrement des données à caractère personnel ; les mesures permettant de garantir la confidentialité, l'intégrité, la disponibilité des données à caractère personnel et leur accessibilité dans des délais appropriés en cas d'incident physique ou technique, la procédure permettant de tester, d'analyser et d'évaluer régulièrement l'efficacité des mesures techniques et organisationnelles visant à assurer la sécurité du traitement.

Le représentant de chaque sous-traitant tient un registre de toutes les catégories d'activités de traitement effectuées pour le compte d'un responsable du traitement, contenant :

* Le nom et les coordonnées du sous-traitant et, le cas échéant, du responsable conjoint du traitement pour lequel il travaille, ainsi que les coordonnées du délégué à la protection des données.
* Les finalités du traitement effectué pour chaque sous-traitant.
* Le cas échéant, le transfert de données personnelles vers un pays étranger ou une organisation internationale, y compris l'identification du pays ou de l'organisation internationale et, lorsqu'il est effectué au titre de l'article 49, paragraphe 1, deuxième alinéa, les documents attestant l'existence de garanties appropriées.
* Lorsque cela est possible, une description générale des mesures de sécurité techniques et organisationnelles.

Il existe des exceptions aux obligations relatives à ces registres, en particulier pour une entreprise comptant moins de 250 travailleurs, sauf si ces traitements sont risqués et ne sont pas occasionnels ou s'ils incluent des catégories particulières de données à caractère personnel (données sensibles).