Comment établir un registre ?
Le Registre doit être fait par écrit. Il peut se présenter sous une forme électronique. Il ne doit pas exister à la fois en version papier et en version électronique (article 30.3. du RGPD). Sa lecture doit être claire et compréhensible pour l’APD.
Un modèle a été préparé par l’APD. Des modèles peuvent aussi être fournis par les organismes représentatifs d’un secteur d’activité.
Le Registre doit également être tenu à jour en fonction du développement et de l’évolution des activités de l’entreprise ou de l’organisme concernée. Il peut être utile pour les responsables de traitement et sous-traitants de conserver cette information 5 ans après la cessation des traitements - en y mentionnant que le traitement a cessé à telle date - à des fins d’« accountability » (responsabilisation du responsable du traitement et du sous-traitant). L’APD pourrait d’ailleurs demander accès à ce Registre pour vérifier des informations sur des traitements opérés même après leur cessation.
L’entreprise ou l’organisme peut déterminer dans quelle langue son Registre est rédigé. L’APD pourra cependant exiger une traduction du Registre dans l’une des langues nationales aux frais de l’entreprise ou de l’organisme.