Question Réponse

Bonjour à tous,

Il est indiqué dans le texte de la RGPD :
"Pour tenir compte de la situation particulière des micro, petites et moyennes entreprises, le présent règlement comporte une dérogation pour les organisations occupant moins de 250 employés en ce qui concerne la tenue de registres. Les institutions et organes de l'Union, et les États membres et leurs autorités de contrôle sont en outre encouragés à prendre en considération les besoins spécifiques des micro, petites et moyennes entreprises dans le cadre de l'application du présent règlement."

Savez-vous en quoi cette dérogation consiste ?

Merci :)

Commentaires

  • Cher Monsieur,

    Sur ce point, c’est l’article 30 du RGPD qui prévoit que :

    « 1. Chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement tiennent un registre des activités de traitement effectuées sous leur responsabilité. Ce registre comporte toutes les informations suivantes:

    a) le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données;

    b) les finalités du traitement;

    c) une description des catégories de personnes concernées et des catégories de données à caractère personnel;

    d) les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales;

    e) le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l'article 49, paragraphe 1, deuxième alinéa, les documents attestant de l'existence de garanties appropriées;

    f) dans la mesure du possible, les délais prévus pour l'effacement des différentes catégories de données;

    g) dans la mesure du possible , une description générale des mesures de sécurité techniques et organisationnelles visées à l'article 32, paragraphe 1.

    1. Chaque sous-traitant et, le cas échéant, le représentant du sous-traitant tiennent un registre de toutes les catégories d'activités de traitement effectuées pour le compte du responsable du traitement, comprenant:

    a) le nom et les coordonnées du ou des sous-traitants et de chaque responsable du traitement pour le compte duquel le sous-traitant agit ainsi que, le cas échéant, les noms et les coordonnées du représentant du responsable du traitement ou du sous-traitant et celles du délégué à la protection des données;

    b) les catégories de traitements effectués pour le compte de chaque responsable du traitement;

    c) le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l'article 49, paragraphe 1, deuxième alinéa, les documents attestant de l'existence de garanties appropriées;

    d) dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l'article 32, paragraphe 1.

    1. Les registres visés aux paragraphes 1 et 2 se présentent sous une forme écrite y compris la forme électronique.

    2. Le responsable du traitement ou le sous-traitant et, le cas échéant, leur représentant mettent le registre à la disposition de l'autorité de contrôle sur demande.

    3. Les obligations visées aux paragraphes 1 et 2 ne s'appliquent pas à une entreprise ou à une organisation comptant moins de 250 employés, sauf si le traitement qu'elles effectuent est susceptible de comporter un risque pour les droits et des libertés des personnes concernées, s'il n'est pas occasionnel ou s'il porte notamment sur les catégories particulières de données visées à l'article 9, paragraphe 1, ou sur des données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article 10 ».

    En résumé, s’il existe bien une exception pour les entreprises de moins de 250 employés, il reste qu’une dérogation à l’exception s’applique (Cf. le point 5) – ce qui impose à ces entreprises la tenue d’un registre dans certaines circonstances prévues par le texte.

    Bien à vous,

  • C'est exact Yves, un registre doit être établi, il existe à ce jour une dérogation qui permet à toute entreprise de moins de 250 salariés et toute association de moins de 250 adhérents pour n'établir qu'un registre simplifié qui donc ne détaille que partiellement le traitement des Données mis en oeuvre par l'organisation. Nous avons établis avec d'autres collègues entrepreneurs un protocole de diagnostic/état des lieux de 22x8 questions et un rapport qui en découle avec les préconisations d'actions. Un accompagnement vers la conformité RGPD est possible, ainsi que la mise en place d'un DPO / DPD externalisé. Plus d'infos sur: http://www.auditsrgpdconseils.fr/ et sur le groupe Facebook : https://www.facebook.com/groups/2430554323836468/ ainsi que sur le groupe Linkedin : https://www.linkedin.com/groups/13561710

Sign In or Register to comment.