S’agissant de l’exception à l’obligation de tenir un registre des traitements pour les entreprises de moins de 250 salariés, le G29 a publié son interprétation (1).
L’article 30, 5°, du RGPD prévoit que l’obligation de tenir un registre des traitements ne s’applique pas à une entreprise ou une organisation comptant moins de 250 salariés.
Une exception applicable aux TPE/PME
Cette exception comporte elle-même des exceptions. Ainsi une entreprise de moins de 250 salariés devra tenir un registre des traitements dans trois situations :
- Si le traitement qu’elle effectue est susceptible de comporter un risque pour les droits et libertés des personnes concernées,
- S’il n’est pas occasionnel ou
- S’il porte sur des catégories particulières de données visées à l’article 9 du RGPD (données relatives à la santé, données biométriques, etc.) ou sur des données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10.
Face aux difficultés d’interprétation de cette disposition, le G29 vient de publier une position relative à l’interprétation de cette exception.
Les critères de cette exception
Le G29 rappelle que les critères excluant l’application de cette exception sont alternatifs et que la survenance de l’un d’entre eux suffit à maintenir l’obligation. Ainsi, un responsable de traitement ou un sous-traitant ayant moins de 250 collaborateurs mais procédant à des traitements susceptibles de comporter un risque pour les personnes, ne pourra bénéficier de cette exception.
Le G29 prend également l’exemple d’une TPE traitant des données relatives à ses collaborateurs à des fins de gestion des ressources humaines. Ces traitements, dans la mesure où ils ne sont pas occasionnels, devront figurer dans le registre des traitements. Les autres traitements occasionnels pourront eux en être dispensés sous réserve de ne pas rentrer dans les deux autres critères excluant l’application de l’exception.
Le registre des traitements : un outil
Le G29 rappelle également que la tenue du registre des traitements est un outil pratique pour analyser les traitements existants ou futurs et permet la mise en place de mesures de sécurité appropriées.
Enfin, le groupe de l’article 29 rappelle son interprétation de la notion de traitement occasionnel figurant dans les lignes directrices relatives à l’article 49 du RGPD (2). Ainsi un traitement ne peut être considéré comme occasionnel que s’il n’est pas effectué de manière régulière et intervient en dehors du cours normal des activités du responsable du traitement ou du sous-traitant.
Aurélie Banck
Lexing Conformité RGPD Banque Assurance
(1) Position Paper related to article 30(5)
(2) Guidelines on Article 49 of Regulation 2016/679 (wp262)