Registre des traitements RGPD : template et mise en conformité

Registre des traitements RGPD : template et mise en conformité

Le registre des activités de traitement est l’outil central pour piloter votre conformité et démontrer l’accountability. Il est obligatoire pour les responsables de traitement et les sous-traitants au titre de l’article 30 du RGPD, sous forme écrite (papier ou électronique), et doit être présenté à la demande de l’autorité de contrôle.

Définition et champ d’application

L’article 30 du Règlement (UE) 2016/679 impose la tenue d’un registre recensant chaque activité de traitement, avec des mentions précises (finalités, catégories de personnes et de données, destinataires, transferts, durées de conservation, mesures de sécurité). Consultez le texte sur EUR-Lex (RGPD – art. 30).

La CNIL rappelle que ce registre est un outil de pilotage à la fois pour la conformité et la gestion des risques. Pour les TPE/PME, des modèles officiels facilitent la mise en place (France Num / CNIL).

Exception entreprises < 250 salariés: la dispense n’est applicable que si les traitements sont occasionnels, n’incluent aucune catégorie particulière de données (ou données pénales) et ne sont pas susceptibles d’engendrer un risque pour les droits et libertés des personnes (art. 30(5) RGPD – EUR-Lex). En pratique, la tenue d’un registre reste recommandée par la CNIL pour toutes les structures.

Deux registres distincts selon le rôle: responsable vs. sous-traitant

Registre du responsable de traitement (art. 30(1))

• Coordonnées du responsable de traitement, des coresponsables le cas échéant, du représentant (si hors UE) et du DPO.
• Finalités du traitement.
• Descriptions des catégories de personnes concernées et de données.
• Catégories de destinataires, y compris transferts vers pays tiers/organisations internationales et garanties.
• Délais prévus pour l’effacement des différentes catégories de données.
• Description générale des mesures de sécurité techniques et organisationnelles.

Références: EUR-Lex – RGPD art. 30, CNIL.

Registre du sous-traitant (art. 30(2))

• Nom et coordonnées de chaque responsable pour le compte duquel il agit, du représentant (si hors UE) et du DPO.
• Catégories de traitements effectués pour le compte de chaque responsable.
• Transferts vers pays tiers/organisations internationales et garanties.
• Description générale des mesures de sécurité techniques et organisationnelles.

Références: EUR-Lex – RGPD art. 30, CNIL.

Template prêt à l’emploi (adapté TPE/PME)

La CNIL met à disposition un exemple de registre basique (ODS, RTF, PDF) avec une fiche par traitement identifiée par sa finalité. Téléchargez et adaptez le modèle: exemple CNIL (PDF) et guide France Num (modèle TPE/PME).

Champs indispensables d’une fiche traitement

• Identifiant du traitement et propriétaire interne (service référent).
• Finalité(s) précise(s) et base(s) légale(s) correspondante(s).
• Catégories de personnes (clients, prospects, salariés, candidats, utilisateurs, etc.).
• Catégories de données (identité, contact, usage produit, facturation, RH, etc.).
• Destinataires internes et externes (y compris sous-traitants) et transferts hors UE.
• Durées de conservation par catégorie de données et critères de détermination.
• Mesures de sécurité (contrôles d’accès, chiffrement, journalisation, sauvegardes, tests).
• Lien vers la notice d’information/politique de confidentialité pertinente.
• Indication DPIA requise ou non, et référence si réalisée.

Exemple de fiche “Recrutement candidats”

• Propriétaire: RH – Talent Acquisition.
• Finalité: gestion des candidatures et processus d’entretien.
• Base légale: intérêt légitime de l’employeur; consentement pour la conservation de CV en vivier au-delà du processus.
• Personnes: candidats.
• Données: identité, contact, CV, lettres, notes d’entretien, tests (non sensibles).
• Destinataires: RH, managers recruteurs; sous-traitant ATS (SaaS).
• Transferts hors UE: non, ou Standard Contractual Clauses si l’ATS héberge aux États-Unis/tiers pays.
• Conservation: candidatures non retenues 2 ans après dernier contact avec consentement; sinon clôture + 6 mois; embauchés: dossier RH selon obligations légales.
• Sécurité: accès restreints, authentification MFA, chiffrement au repos et en transit, purge automatique, journalisation des accès.
• Information: lien vers politique candidats sur le site carrière.

Astuce: la fiche doit rester opérationnelle; évitez les formulations vagues. Voir les conseils pratiques France Num “Comment faire du registre un outil vraiment utile” (France Num).

Méthode en 7 étapes pour constituer et tenir votre registre

1. Nommer un pilote (idéalement le DPO) et cadrer le périmètre, le format (tableur vs outil SaaS) et la périodicité de revue. Le principe d’accountability est promu par l’EDPB (European Data Protection Board).
2. Cartographier par finalité: ateliers/entretiens avec RH, Ventes/Marketing, Produit/Tech, Finance, Juridique, Support pour lister les usages (CRM, facturation, support, analytics, cookies, logs, recrutement, paie, sécurité, etc.).
3. Qualifier les bases légales et les destinataires; identifier les sous-traitants et éventuels transferts hors UE.
4. Définir les durées de conservation par catégorie de données, en alignant conformité et besoins métier (archivage intermédiaire, anonymisation/pseudonymisation).
5. Compléter une fiche par traitement (modèle CNIL) et faire valider par les propriétaires métiers.
6. Vérifier les risques: besoin d’AIPD (DPIA)? mesures de sécurité suffisantes? registres cookies cohérents? Adaptez au besoin avec l’aide de votre DPO.
7. Gouvernance et mise à jour: revue trimestrielle/semestrielle, intégration au process de lancement de projets, contrôle avant tout nouveau sous-traitant.

Pour un déploiement fluide, la démarche outillée et itérative recommandée par France Num est efficace (guide).

Points techniques à ne pas oublier

• Sous-traitants et transferts: le registre doit lister vos prestataires, leurs localisations et garanties. Couvrez contractuellement les obligations RGPD (DPA). Voir nos conseils sur le contrat de sous-traitance et les bonnes pratiques.
• Cookies et analytics: créez des fiches dédiées (mesure d’audience, A/B testing, retargeting), en cohérence avec votre CMP.
• Produits et logs: ne négligez pas les journaux d’événements, télémétrie, monitoring, support. Précisez finalités et durées de rétention distinctes.
• IA et datasets: si vous utilisez des données personnelles pour entraîner/évaluer des modèles, documentez finalités, bases légales, minimisation et conservation. Voir notre guide sur les obligations RGPD appliquées à l’IA.
• Information des personnes: le registre et la politique de confidentialité doivent rester cohérents (finalités, durées, droits).

Fréquence de mise à jour, contrôles et sanctions

Mettez à jour le registre à chaque nouveau traitement, changement substantiel (nouvelle finalité, nouveau prestataire, nouveau transfert, modification des durées) et au minimum une fois par an. En cas de contrôle, la CNIL peut exiger sa communication. L’absence de registre (ou un registre lacunaire) peut être sanctionnée jusqu’à 10 M€ ou 2% du CA annuel mondial (RGPD art. 83 – EUR-Lex). Voir aussi les rappels institutionnels sur Service Public Pro et CNIL.

Outils, organisation et rôle du DPO

Un tableur basé sur le modèle CNIL est souvent suffisant au démarrage. Les entreprises en croissance peuvent préférer un outil GRC/Privacy dédié pour lier registre, DPIA, registres des violations et inventaire des sous-traitants. Encadrez la gouvernance (droits d’accès, historisation, exports, preuves). Le DPO pilote ou contrôle cette tenue, anime la revue et conseille sur les risques. Si vous n’avez pas les ressources en interne, évaluez un DPO externalisé. Pour le cadre national complémentaire (Loi Informatique et Libertés), consultez Legifrance.

FAQ

Le registre est-il obligatoire pour une startup de moins de 250 salariés ?

Oui, sauf cas très étroit où tous les traitements sont occasionnels, sans données sensibles/infractions et sans risque. En pratique, la CNIL recommande de tenir le registre.

Dois-je avoir deux registres si je suis aussi sous-traitant ?

Oui. Un registre en tant que responsable pour vos propres traitements, et un registre distinct pour les traitements effectués pour le compte de vos clients.

Quelle granularité adopter pour une fiche ?

Par finalité homogène. Évitez les fiches fourre-tout. Exemple: “Gestion de la facturation” distincte de “Prospection commerciale”.

Comment lier le registre à mes documents externes ?

Le registre alimente votre politique de confidentialité, vos notices d’information et vos contrats de sous-traitance. Tenez-les synchronisés.

Ressources utiles: CNIL – Registre, exemple de registre, modèle TPE/PME, RGPD sur EUR-Lex, EDPB, Service Public Pro.