RGPD

L'employeur a l'obligation de tenir un registre :

• dans les entreprises comptant 250 salariés ou plus : listant l'intégralité de ses activités de traitement automatisé de données personnelles
• dans les entreprises de plus petite taille : listant les traitements de données susceptibles de comporter un risque pour les droits et les libertés des personnes concernées, non occasionnels ou portant sur certaines données sensibles Règl. UE no 2016/679, 27 avr. 2016, art. 30.

Non, le registre doit simplement être mis à disposition de la Cnil lorsqu'elle le demande.

Si le siège social de l'entreprise ou la maison mère du groupe est situé dans un autre État membre de l'Union européenne, le registre doit être mis à la disposition de l'autorité de contrôle de cet État (l'équivalent de la Cnil).

Le registre peut se présenter sous forme écrite ou électronique. Il doit comporter les informations suivantes :

• le nom et les coordonnées de l'employeur, s'il existe du responsable conjoint du traitement de données, du représentant de l'employeur et du délégué à la protection des données s'il a été désigné (voir question dédiée)
• les finalités du traitement (ex : gestion des candidatures (CV et lettre de motivation), gestion des demandes de formation et des périodes de formation effectuées, etc.)
• une description des catégories de personnes et de données à caractère personnel concernées, ainsi que des catégories de destinataires des données, y compris les destinataires dans des pays tiers
• si c'est le cas, les transferts de données vers un autre pays
• dans la mesure du possible, les délais prévus pour l'effacement des différentes catégories de données et une description générale des mesures de sécurité techniques et organisationnelles mises en place.