220 – Le registre des traitements

Si votre entreprise a un effectif supérieur à 250 salariés ou si vous traitez des données sensibles ou des données à grande échelle, vous êtes tenus de tenir un registre des activités de traitement.

Le registre des activités de traitement doit comprendre les éléments suivants :
– Le nom et les coordonnées du Responsable de traitement et, le cas échéant, du Responsable conjoint du traitement, du représentant du responsable du traitement et du DPO,
– Les finalités du traitement,
– Une description des catégories de personnes concernées et des catégories de données à caractère personnel,
– Les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales,
– Les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, si nécessaire les documents attestant de l’existence de garanties appropriées,
– Les délais prévus pour l’effacement des différentes catégories de données (dans la mesure du possible),
– Une description générale des mesures de sécurité techniques et organisationnelles (dans la mesure du possible.
https://www.cnil.fr/fr/RGDP-le-registre-des-activites-de-traitement