RGPD : A quel niveau le registre des activités de traitement doit-il être établi dans le cas d’un groupe de sociétés ?

Voltaire Avocats / Actualités en droit social  / RGPD : A quel niveau le registre des activités de traitement doit-il être établi dans le cas d’un groupe de sociétés ?

RGPD : A quel niveau le registre des activités de traitement doit-il être établi dans le cas d’un groupe de sociétés ?

Le règlement européen sur la protection des données personnelles (RGPD) entré en vigueur le 25 mai dernier prévoit en son article 30 l’obligation pour chaque responsable de traitement de tenir un registre des activités de traitement effectuées sous sa responsabilité. La question se pose pour autant de savoir à quel niveau ce registre doit être établi lorsque la société fait partie d’un groupe d’entreprises et que le traitement est mis en œuvre au niveau du groupe.

Le règlement est en effet muet sur ce point, seules les dispositions sur le délégué à la protection des données précisant qu’un groupe d’entreprises peut désigner un seul délégué, à condition qu’un délégué soit facilement joignable à partir de chaque lieu d’établissement (article 37).

Selon la CNIL, il semblerait que le registre devrait être établi au sein de chacune des sociétés du groupe, quand bien même le traitement serait mis en oeuvre au niveau du groupe.

A suivre cette position, le registre devrait donc mentionner les traitements spécifiques à la société ainsi que ceux mis en oeuvre au niveau du groupe auquel elle appartient.