Actualités

📒 Absence de registre des activités de traitement

Outils & Documentation | 27/03/2025

🚨 Une micro-entreprise sanctionnée par la CNIL

Source : SAN 2021-014

En 2021, la formation restreinte de la CNIL a infligé une amende de 3 000 euros à une micro-entreprise pour plusieurs manquements, notamment l'absence de registre des activités de traitement.

🔍 Détails de l’affaire

Cette micro-entreprise, une SASU composée d’un unique salarié (son président), proposait un service d’annuaire en ligne.
Entre mars 2018 et mai 2019, 16 plaintes ont été déposées auprès de la CNIL par des personnes répertoriées dans cet annuaire sans leur consentement, notamment des responsables d’entreprises et des entrepreneurs individuels.

Malgré leurs demandes, ces personnes n’ont pas obtenu la rectification ou l’effacement de leurs données personnelles, en violation des articles 16 (rectification) et 17 (effacement) du RGPD. Face à ces plaintes, la CNIL a mené une enquête.

Constats lors du contrôle

  1. Violation de l’Article 31 - Manque de coopération
    • La micro-entreprise n’a pas répondu de manière satisfaisante aux questions de la CNIL, manquant de transparence et de coopération avec l’autorité de contrôle.
  2. Violation de l’Article 30 - Absence de registre des activités de traitement
    • L’entreprise n’a pas tenu de registre des activités de traitement, un document obligatoire qui permet de répertorier les traitements effectués sur des données personnelles.
    • Ce registre joue un rôle essentiel pour s’assurer que les données collectées sont adéquates, pertinentes et limitées aux finalités prévues.

📋 Importance du registre des activités de traitement

Le registre des activités de traitement doit être tenu par écrit, sous forme manuscrite ou électronique, et doit contenir :

  • Les coordonnées du responsable de traitement, sous-traitants, et DPO (le cas échéant).
  • Les catégories de données traitées, les finalités, les bases juridiques, la durée de conservation, et les éventuels transferts hors UE.
  • Les parties prenantes (services opérationnels, destinataires des données, etc.) et les mesures de sécurité en place.

Exceptions pour les petites entreprises

Les entreprises de moins de 250 salariés doivent tenir un registre uniquement pour :

  • Les traitements habituels (gestion des clients, paie, etc.).
  • Les traitements comportant des risques pour les droits et libertés (vidéosurveillance, GPS, etc.).
  • Les traitements de données sensibles (santé, etc..)

📌 Conséquences

  • Amende Administrative : 3 000 euros
  • Atteinte à la Réputation : Le non-respect des obligations RGPD nuit à la crédibilité de l’entreprise.
  • Injonction à se mettre en conformité : La CNIL a exigé que l’entreprise rectifie ses manquement

🔧 Bonnes Pratiques pour la Conformité au RGPD

  • Tenir un registre à jour : Même les petites entreprises doivent documenter les traitements sensibles ou habituels.
  • Collaborer avec la CNIL : Fournir des réponses claires et coopérer pleinement en cas de contrôle.
  • Respecter les droits des individus : Mettre en place des processus efficaces pour rectifier ou effacer les données personnelles sur demande.

Cette affaire souligne l'importance de la documentation et du respect des obligations RGPD, même pour les micro-entreprises.

Retour vers la liste des actualités

Découvrez toutes nos expertises :

Gouvernance et Stratégie Qualité des données MDM / PIM Conformité