Article 5: principes au traitement des données à caractère personnel 

1. Les données à caractère personnel doivent être :

a) traité de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence),

b) collectées pour des finalités déterminée, explicites est légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ses finalités ; le traitement ultérieur à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n’est pas considéré, conformément à l’article 89, paragraphe 1,  comme incompatible avec les finalités initiales (limitation des finalités) ;

c) adéquate, pertinentes est limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ;

d) exactes et, si nécessaire, tenues à jour, toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude) ;

e) conservées sous une forme permettant l’identification des personnes concernées pendant une durée d’excédent par celle nécessaire au regard des finalités pour lesquelles elles sont traitées ; les données à caractère personnel peuvent être conservées pour des durée plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89, paragraphe 1,  pour autant que soient mise en œuvre les mesures techniques et organisationnels appropriées requises par le présent règlement à fin de garantir les droits et libertés de la personne concernée (limitation de la conservation),

f) traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité) ;

2. Le responsable du traitement responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté  (responsabilité).

3. Le règlement CE no 45/2001 s’applique au traitement des données à caractère personnel par les institutions,  organes et organismes de l’Union Européenne. Le règlement CE no 45/2001 et les autres actes juridiques de l’Union Européenne applicable audit traitement des données à caractère personnel sont adaptés aux principes et aux règles du présent règlement conformément à l’article 98.

4. Le présent règlement s’applique sans préjudice de la directive 2000/31/CE,  et notamment de ses articles 12 à 15 relatifs à la responsabilité des prestataires de services intermédiaires.

Article 30:  du règlement européen sur la protection des données (RGPD)

1. Chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement tiennent un registre des activités de traitement effectué sous leur responsabilité. Ce registre comporte toutes les informations suivantes :

a)  le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données ;

b)  les finalités du traitement ;

c)  une description des catégories de personnes concernées et des catégories des données à caractère personnel ;

d)  les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiqués, y compris les destinataires dans des pays tiers ou des organisations internationales ;

e)  le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visé à l’article 49, paragraphe 1, deuxième alinéa, législations attestant de l’existence de garanties appropriées ;

f)  dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données;

g) dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l’article 32, paragraphe 1.

2.Chaque sous-traitant et, le cas échéant,  le représentant du sous-traitant tiennent un registre de toutes les catégories d’activité de traitement effectué pour le compte du responsable du traitement comprenant :

a)  le nom et les coordonnées ou du sous-traitant et de chaque responsable du traitement pour le contre duquel le sous-traitant agit ainsi que, le cas échéant, le nom et les coordonnées du représentant du responsable du traitement ou du sous-traitant et celle du délégué à la protection des données ;

b)  les catégories de traitements effectués pour le compte de chaque responsable du traitement ;

c)  le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou une organisation internationale, y compris identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visées à l’article 49, paragraphe 1,  deuxième alinéa législations attestant de l’existence des garanties appropriées ;

d)  dans la mesure du possible, description générale des mesures de sécurité techniques et organisationnels visées à l’article 32, paragraphe 1

3. Les registres visés aux paragraphes 1 et 2 se présentant sous une forme écrite y compris la forme électronique.

4. Le responsable du traitement le sous-traitant et, le cas échéant, le représentant mettant le registre à la disposition de l’autorité de contrôle sur demande

5. Les obligations visées aux paragraphes 1 et 2  ne s’appliquent pas à une entreprise ou une organisation comptant moins de 250 employés, sauf si le traitement qu’elles effectuent et susceptible de comporter un risque pour les droits et des libertés des personnes concernées, s’il n’est pas  occasionnel ou s’ils portent notamment sur les catégories particulières de données visées à l’article 9, paragraphe 1, ou sur des données à caractère personnel relatives à des condamnations pénales et des infractions visées à l’article 10.

Registre non renseigne : sanction

En cas d’omission pure et simple, la CNIL pourra être amenée à délivrer une amende à l’encontre de l’entreprise ou de l’administration qui n’aura pas respecté cette clause du RGPD. La peine encourue s’élève à 10 millions d’€ ou 2 % du chiffre d’affaires mondial annuel. Sinon, des avertissements pourront aussi être prononcés à l’égard des contrevenants, lesquels ne seront pas non plus à l’abri d’une limitation temporaire ou permanente d’un traitement, voire d’un effacement de certaines données personnelles.

Sources :

https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article30

https://www.cnil.fr/fr/cartographier-vos-traitements-de-donnees-personnellesegislations