Actualités

📋📖 🇫🇷 La CNIL sanctionne deux petites entreprises pour absence de registre des activités de traitement 📋📖 🇫🇷

En 2024, la CNIL a sanctionné deux sociétés de moins de 250 employés pour absence de registre des activités de traitement, les traitements en cause n’étant pas occasionnels.

Manquement constaté :
Violation de l’Article 30 - Absence de registre des activités de traitement

• Les entreprises n’ont pas tenu de registre des activités de traitement, un document obligatoire qui permet de répertorier les traitements effectués sur des données personnelles.
• Ce registre joue un rôle essentiel pour s’assurer que les données collectées sont adéquates, pertinentes et limitées aux finalités prévues.
  
  📋 Importance du registre des activités de traitement

Le registre des activités de traitement doit être tenu par écrit, sous forme manuscrite ou électronique, et doit contenir :

• Les coordonnées du responsable de traitement, DPO (le cas échéant).
• Les catégories de données traitées, les finalités, les bases juridiques, la durée de conservation, les éventuels transferts hors UE.
• Les parties prenantes (services opérationnels, destinataires des données, etc.) et les mesures de sécurité en place.

Exceptions pour les petites entreprises

Les entreprises de moins de 250 salariés doivent tenir un registre uniquement pour :

• Les traitements habituels (gestion des clients, paie, etc.).
• Les traitements comportant des risques pour les droits et libertés (vidéosurveillance, GPS, etc.).
• Les traitements de données sensibles (santé, etc.).