Modèle gratuit de Registre des Traitements RGPD pour la Belgique
Un registre des activités de traitement complet et conforme au RGPD et à la Loi belge du 30 juillet 2018 relative à la protection des données. Toutes les rubriques obligatoires de l'Article 30 du RGPD et les exigences de l'Autorité de protection des données (APD) belge incluses.
| NOM / RAISON SOCIALE | BelCorp SA |
| FORME JURIDIQUE | SA |
| N° BCE | 0123.456.789 |
| ADRESSE | Rue de la Loi 23, bte 5, 1000 Bruxelles |
| privacy@belcorp.be | |
| TÉLÉPHONE | +32 2 123 45 67 |
| DÉLÉGUÉ À LA PROTECTION DES DONNÉES (DPO) | Désigné — dpo@belcorp.be |
| NOM DU TRAITEMENT | Gestion des ressources humaines — salariés |
| FINALITÉ(S) | Gestion des contrats de travail, paiement des salaires, suivi des absences et congés, évaluations annuelles de performance, administration sociale (ONSS, fiches de paie). |
| BASE LÉGALE | Obligation légale (Art. 6§1c RGPD) |
| CATÉGORIES DE PERSONNES | Salariés (CDI, CDD), intérimaires, stagiaires |
| CATÉGORIES DE DONNÉES | identite_contact |
| DURÉE DE CONSERVATION | 5 ans après fin de contrat (obligations fiscales) — dossier de paie : 7 ans (art. 2262bis C.civ) |
| TRANSFERTS VERS DES TIERS | Oui |
| DESTINATAIRES | Secrétariat social (Partena Professional), ONSS, SPF Finances, service comptable externe |
| TRANSFERT HORS UE/EEE | Non |
| MESURES TECHNIQUES ET ORGANISATIONNELLES | — Accès restreint par rôle (RBAC), MFA obligatoire — Chiffrement des données en transit (TLS 1.3) et au repos (AES-256) — Sauvegardes quotidiennes chiffrées, hébergées en Belgique — Formation RGPD annuelle obligatoire pour le personnel RH — Politique de gestion des incidents : détection < 4h, notification APD < 72h |
Le responsable du traitement, BelCorp SA, inscrit à la BCE sous le numéro 0123.456.789, déclare que les activités de traitement décrites dans le présent registre sont menées conformément au Règlement (UE) 2016/679 (RGPD) et à la Loi belge du 30 juillet 2018 sur la protection des données personnelles.
Le présent registre est tenu à la disposition de l'Autorité de Protection des Données (APD) sur simple demande, conformément à l'article 30 § 4 du RGPD.
Un Délégué à la Protection des Données (DPO) a été désigné conformément à l'article 37 du RGPD. Contact DPO : dpo@belcorp.be.
| NOM DU DPO | Claire Dubois |
| CONTACT DPO | dpo@belcorp.be — Rue de la Loi 23, 1000 Bruxelles — +32 2 123 45 68 |
| AIPD (ART. 35 RGPD) | Non requise pour ce traitement |
| PROCÉDURE VIOLATION (ART. 33–34 RGPD) | Détection par SIEM — Escalade DPO dans 4h — Notification APD via enotification.be dans 72h — Communication personnes concernées si risque élevé |
| SOUS-TRAITANTS (ART. 28 RGPD) | — Partena Professional (secrétariat social) — DPA signé — Microsoft 365 Europe (messagerie, stockage) — CCT 2021/914 + DPA — SD Worx (gestion paie) — DPA signé, serveurs UE |
Qu'est-ce qu'un registre des traitements de données en Belgique ?
Le registre des activités de traitement est un document interne obligatoire en Belgique pour la plupart des organisations qui traitent des données personnelles. Il recense l'ensemble des traitements de données effectués par un responsable du traitement ou un sous-traitant en Belgique, conformément à l'Article 30 du Règlement général sur la protection des données (RGPD, Règlement (UE) 2016/679). Ce registre est la colonne vertébrale de toute politique de protection des données en Belgique et permet de démontrer la conformité au principe d'accountability.
En Belgique, le registre des traitements est obligatoire pour les organisations de plus de 250 travailleurs et pour toute organisation en Belgique — quelle que soit sa taille — dont les traitements sont susceptibles d'engendrer un risque pour les droits et libertés des personnes concernées, traitent des données sensibles ou des données relatives à des condamnations pénales, ou sont effectués de manière non occasionnelle. L'Autorité de protection des données (APD) belge peut demander l'accès au registre lors d'une inspection ou enquête en Belgique.
La Loi belge du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel complète le RGPD en Belgique. Elle précise notamment les conditions de traitement des données personnelles par les autorités publiques belges, les conditions spécifiques aux catégories particulières de données et les pouvoirs de l'APD belge. En Belgique, le non-respect de l'obligation de tenir un registre des traitements peut entraîner des amendes administratives allant jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial de l'organisation.
Ce que contient ce modèle
Le modèle de registre des traitements belge de Doxuno intègre toutes les rubriques obligatoires de l'Article 30 du RGPD et les exigences spécifiques de l'APD belge.
Identification du responsable de traitement belge
Coordonnées, représentant légal et délégué à la protection des données (DPO)
Finalités des traitements
Objectifs précis de chaque traitement de données en Belgique
Catégories de données traitées
Types de données personnelles et catégories sensibles (Article 9 RGPD)
Catégories de personnes concernées
Clients, travailleurs, fournisseurs et autres personnes belges et étrangères
Destinataires des données
Parties internes et tiers auxquels les données sont communiquées en Belgique
Transferts vers des pays tiers
Garanties pour les transferts hors UE conformément au RGPD belge
Délais de conservation
Durée de conservation de chaque catégorie de données en Belgique
Mesures de sécurité techniques et organisationnelles
Mesures de protection mises en place conformément à l'Article 32 RGPD
Base juridique du traitement
Fondement légal belge (consentement, contrat, obligation légale, etc.)
Rôle du sous-traitant belge
Registre spécifique pour les sous-traitants selon l'Article 30(2) RGPD
Analyse d'impact (AIPD)
Référence aux analyses d'impact conduites en Belgique si requises
Comment créer votre registre des traitements RGPD en Belgique
Le modèle Doxuno vous guide pour établir un registre des traitements conforme au RGPD et à la Loi belge du 30 juillet 2018 en quelques étapes.
- 1
Identifiez votre organisation belge et vos rôles RGPD
Déterminez si votre organisation belge est responsable de traitement, sous-traitant ou les deux selon le RGPD. Indiquez les coordonnées complètes de votre organisation en Belgique, le nom du représentant légal et, si applicable, les coordonnées de votre délégué à la protection des données (DPO) belge ou européen. En Belgique, la désignation d'un DPO est obligatoire pour les autorités publiques et les organisations traitant des données sensibles à grande échelle.
- 2
Inventoriez tous vos traitements de données en Belgique
Recensez systématiquement tous les traitements de données personnelles effectués par votre organisation en Belgique : RH (paie, recrutement, évaluation), gestion clientèle (CRM, facturation), marketing (newsletter, cookies), sous-traitance et relations fournisseurs. Chaque traitement doit faire l'objet d'une fiche séparée dans votre registre belge.
- 3
Documentez les bases juridiques belges
Pour chaque traitement en Belgique, identifiez la base juridique applicable selon l'Article 6 du RGPD : consentement explicite de la personne concernée, exécution d'un contrat belge, obligation légale belge ou européenne, intérêt vital, mission d'intérêt public ou intérêt légitime de votre organisation. La base juridique doit être documentée avec précision dans votre registre belge.
- 4
Renseignez les durées de conservation belges
Pour chaque catégorie de données en Belgique, indiquez la durée de conservation maximale justifiée par la finalité du traitement ou imposée par la législation belge (7 ans pour les documents comptables, 5 ans pour les données de vigilance anti-blanchiment, etc.). Les données belges ne doivent pas être conservées au-delà de la durée nécessaire à leur finalité.
- 5
Décrivez les mesures de sécurité belges
Documentez les mesures techniques et organisationnelles mises en place pour protéger les données personnelles en Belgique conformément à l'Article 32 du RGPD : chiffrement, contrôle d'accès, pseudonymisation, politique de mots de passe, plan de continuité et procédure de notification des violations de données à l'APD belge (délai de 72 heures).
Considérations juridiques RGPD en Belgique
Le RGPD et la Loi belge du 30 juillet 2018 imposent des obligations strictes aux organisations traitant des données personnelles en Belgique. L'APD belge dispose de pouvoirs étendus de contrôle et de sanction.
Ce modèle est fourni à titre informatif uniquement et ne constitue pas un conseil juridique en matière de protection des données en Belgique. La conformité RGPD dépend des caractéristiques spécifiques de vos traitements de données en Belgique. Consultez un avocat spécialisé en droit des données ou un délégué à la protection des données (DPO) belge certifié.
Modèle vérifié par des juristes belges spécialisés en protection des données. Conforme au RGPD et à la Loi belge du 30 juillet 2018. Recommandé par des DPO certifiés en Belgique.
L'Autorité de protection des données (APD) belge
L'Autorité de protection des données (APD) — anciennement la Commission pour la protection de la vie privée (CPVP) — est l'autorité de contrôle indépendante belge chargée de surveiller l'application du RGPD et de la Loi belge du 30 juillet 2018 en Belgique. L'APD belge peut effectuer des inspections, recevoir des plaintes de personnes concernées, mener des enquêtes d'office et imposer des mesures correctives et des amendes administratives allant jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial. En Belgique, l'APD est particulièrement vigilante sur la conformité des traitements effectués par les grandes plateformes et les organismes publics.
Obligation de notification des violations à l'APD belge
En Belgique, tout responsable de traitement qui découvre une violation de données personnelles (fuite, accès non autorisé, perte de données) doit la notifier à l'APD belge dans un délai de 72 heures si la violation est susceptible d'engendrer un risque pour les droits des personnes. Si la violation en Belgique est susceptible d'engendrer un risque élevé, le responsable doit également informer les personnes concernées sans délai. Cette obligation de notification s'applique à toutes les organisations qui traitent des données en Belgique, quelle que soit leur taille.
DPO et conseil d'entreprise en Belgique
En Belgique, certaines organisations sont obligées de désigner un délégué à la protection des données (DPO) : les autorités et organismes publics belges, les organisations dont l'activité principale nécessite un suivi régulier et systématique à grande échelle des personnes concernées, et celles qui traitent à grande échelle des catégories particulières de données (données de santé, données génétiques, etc.). Le DPO belge doit être déclaré à l'APD et peut être un membre du personnel belge ou un prestataire externe. La Loi belge du 30 juillet 2018 impose également des obligations spécifiques au comité d'entreprise belge (conseil d'entreprise) en matière de contrôle des traitements de données des travailleurs.
Questions fréquentes
Prêt à mettre votre organisation belge en conformité RGPD ?
Créez votre registre des activités de traitement conforme au RGPD et à la Loi belge du 30 juillet 2018 en quelques minutes. Gratuit, sans compte requis pour la version de base.
Gratuit · PDF instantané · Aucun compte requis