En une phrase. Le registre des activités de traitement (RAT) est l’inventaire central requis par l’article 30 RGPD. Il documente chaque activité de traitement de l’organisation : finalités, catégories de données, destinataires, transferts, conservation, sécurité. Les responsables (article 30(1)) comme les sous-traitants (article 30(2)) doivent tenir un registre. C’est le premier document que l’autorité de contrôle demande lors de toute inspection — c’est le fondement de la démonstration de l’accountability au titre de l’article 5(2).
Un modèle de registre accélère considérablement la conformité RGPD. Plutôt que de partir de zéro, ce guide fournit des modèles prêts à l’emploi pour les versions responsable et sous-traitant, des exemples de fiches pour les activités de traitement les plus courantes (RH, marketing, support client, IT), et le workflow opérationnel pour maintenir le registre dans le temps.
Pour le cadre général, voir data privacy compliance guide. Pour la méthodologie d’audit, méthodologie audit RGPD. Pour l’audit fournisseur connexe, checklist article 28 audit sous-traitants.
Points clés
- L’article 30 RGPD requiert que tout responsable et sous-traitant tienne un registre.
- Les organisations de moins de 250 salariés sont exemptées uniquement si le traitement est occasionnel, n’inclut pas de catégories particulières, et ne pose pas de risque pour les personnes (rare en pratique).
- Le registre responsable a 8 champs obligatoires, le registre sous-traitant en a 5.
- Un registre complet est le premier document demandé lors de toute inspection CNIL.
- La majorité des sanctions CNIL en 2024-2025 mentionnent les lacunes du registre comme circonstance aggravante.
1. Quand le registre est-il obligatoire ?
L’article 30(1) requiert un registre responsable. L’article 30(2) requiert un registre sous-traitant. L’article 30(5) prévoit une exemption pour les organisations de moins de 250 salariés — mais uniquement si les trois conditions suivantes sont réunies :
- Le traitement est occasionnel
- N’inclut pas de catégories particulières de données (article 9) ou de données pénales
- Ne risque pas d’engendrer un risque pour les droits et libertés des personnes concernées
En pratique, virtuellement aucune organisation ne remplit les trois conditions. Toute société avec des salariés a des données RH (traitement régulier). Toute société avec des clients a des données CRM. Considérez le registre comme obligatoire pour tous.
2. Registre responsable — champs obligatoires (article 30(1))
Pour chaque activité de traitement, documenter :
| # | Champ | Exemple |
|---|---|---|
| 1 | Nom et coordonnées du responsable | « Acme SAS, 12 rue X, 75001 Paris, dpo@acme.com » |
| 2 | Co-responsable(s) le cas échéant | « [Partenaire Marketing] pour campagnes publicitaires conjointes » |
| 3 | Coordonnées du DPO (si désigné) | « Jean Dupont, dpo@acme.com » |
| 4 | Finalités du traitement | « Gérer les comptes clients et commandes » |
| 5 | Catégories de personnes concernées et données | « Clients ; identification, contact, historique commandes, mode paiement » |
| 6 | Catégories de destinataires | « Internes : support client, finance. Externes : prestataire paiement (Stripe), prestataire livraison (DHL) » |
| 7 | Transferts vers pays tiers (avec garanties) | « Stripe Inc, USA — certification EU-US Data Privacy Framework » |
| 8 | Durées de conservation | « Comptes clients : 3 ans après dernière interaction. Données commandes : 10 ans (droit commercial) » |
| 9 | Description générale des MTO (article 32) | « TLS 1.3 en transit, AES-256 au repos, MFA sur accès admin, certifié ISO 27001 » |
3. Registre sous-traitant — champs obligatoires (article 30(2))
| # | Champ | Exemple |
|---|---|---|
| 1 | Nom et coordonnées du sous-traitant (et de chaque responsable servi) | « ProcessorCo pour ClientA, ClientB, ClientC » |
| 2 | Coordonnées du DPO (si désigné) | — |
| 3 | Catégories de traitements effectués pour le compte de chaque responsable | « Hébergement et traitement des données CRM » |
| 4 | Transferts vers pays tiers avec garanties | — |
| 5 | Description générale des MTO | — |
4. Exemple de fiche registre responsable — RH
Activité de traitement : Dossiers du personnel
Responsable : Acme SAS (12 rue X, 75001 Paris)
Co-responsables : Aucun
DPO : dpo@acme.com
Finalités :
- Exécution du contrat de travail
- Gestion de la paie
- Évaluations de performance
- Conformité aux obligations sociales et fiscales
Base légale : Article 6(1)(b) (exécution du contrat) + Article 6(1)(c)
(obligation légale pour paie/charges)
Personnes concernées : Salariés actuels (87), anciens salariés (152)
Catégories de données :
- Identité : nom, adresse, date de naissance, nationalité, photo
- Contact : email personnel, téléphone
- Emploi : contrat, salaire, poste, évaluations, formations
- Bancaire : IBAN pour paie
- Famille : personnes à charge (uniquement avantages/fiscalité)
Destinataires :
- Internes : RH, Finance, managers directs (pour évaluations)
- Externes : prestataire paie (PayrollCo, FR), Sécurité sociale (URSSAF),
Administration fiscale (DGFiP), Caisse de retraite (XYZ)
Transferts internationaux : Aucun
Conservation :
- Salariés actifs : durée de l'emploi
- Anciens salariés : 5 ans post-départ (prescription droit du travail)
- Bulletins de paie : 5 ans (copie employeur)
- Documents fiscaux : 6 ans (obligations fiscales)
Mesures de sécurité (MTO) :
- Accès restreint à RH + managers directs via contrôle d'accès basé
sur les rôles
- SIRH : TLS 1.3, AES-256 au repos
- MFA obligatoire pour accès SIRH
- Formation annuelle sensibilisation pour personnel RH
- Sauvegarde : quotidienne, conservée 90 jours, chiffrée
AIPD réalisée : Non (traitement RH standard selon doctrine CNIL)
5. Exemple de fiche registre responsable — marketing
Activité de traitement : Email marketing aux abonnés ayant opté in
Responsable : Acme SAS
DPO : dpo@acme.com
Finalités : Envoyer des emails marketing sur produits, événements, contenus
Base légale : Article 6(1)(a) (consentement) — opt-in explicite via
formulaire d'inscription
Personnes concernées : Abonnés newsletter (12 500)
Catégories de données : Adresse email, prénom, date et source d'opt-in,
comportement clic/ouverture
Destinataires :
- Internes : Équipe marketing
- Externes : Prestataire d'envoi email (Mailchimp, USA — certifié EU-US DPF)
Transferts internationaux : USA via Mailchimp DPF
Conservation :
- Actif : tant que le consentement est maintenu
- Après désabonnement : 24 mois (preuve du consentement pour période
de prescription)
Sécurité :
- TLS 1.3 vers ESP
- Mailchimp SOC 2 Type II + ISO 27001
- Rotation trimestrielle des clés API
AIPD : Non
6. Exemple de fiche registre responsable — analytics
Activité de traitement : Analytics du site web
Responsable : Acme SAS
DPO : dpo@acme.com
Finalités : Comprendre l'usage du site, améliorer les contenus et flux
utilisateurs
Base légale : Article 6(1)(a) (consentement via bandeau cookies)
Personnes concernées : Visiteurs du site (~100 000/mois)
Catégories de données : Données d'événements pseudonymisées (vues de page,
clics, temps sur le site), info navigateur/appareil,
IP tronquée
Destinataires :
- Internes : Équipe marketing pour rapports
- Externes : Google LLC (Google Analytics 4)
Transferts internationaux : USA — Google LLC certifié Swiss-US DPF.
Clauses contractuelles types signées comme
garantie subsidiaire. TIA conduite : sept 2025,
risque faible vu pseudonymisation.
Conservation : 14 mois (défaut GA4)
Sécurité :
- HTTPS pour toute transmission
- Anonymisation IP activée dans GA4
- Aucune donnée d'identification transmise à GA4
AIPD : Oui (décembre 2024) — voir AIPD-2024-003
7. Workflow de maintenance
Un registre n’est pas un document one-shot. Maintenance :
Trimestriel (15-30 min)
- Revue des changements dans la liste des fournisseurs (nouveaux sous-traitants ultérieurs)
- Vérifier que les durées de conservation sont effectivement appliquées
- Vérifier que les mécanismes de transfert sont toujours valides (certifications DPF, CCT)
Annuel (4-8 heures)
- Revue complète de chaque fiche
- Mise à jour du nombre de mots et des volumes de personnes concernées
- Re-confirmer la base légale et le statut AIPD
- Ajouter les nouvelles activités de traitement introduites pendant l’année
- Archiver les fiches obsolètes
Revue déclenchée (lorsque…)
- Nouvelle activité de traitement introduite
- Nouveau fournisseur ajouté
- Mise à jour réglementaire majeure (par exemple, nouvelles lignes directrices CEPD)
- Notification d’inspection CNIL
8. Défaillances courantes du registre (inspections CNIL)
- Fiches manquantes pour les outils marketing (analytics, A/B testing, heatmaps) ajoutés sans revue confidentialité
- Descriptions de sécurité génériques (« mesures techniques appropriées ») sans spécifications
- Base légale incorrecte (consentement invoqué quand contrat ou intérêt légitime s’applique)
- Durées de conservation obsolètes non alignées avec la suppression effective
- Sous-traitants ultérieurs non listés — seul le fournisseur de premier niveau nommé
- Aucun processus de revue documenté — fiches non mises à jour depuis 18+ mois
- Aucune référence croisée AIPD pour les traitements à risque élevé
- Détails de transfert international manquants — pays nommé mais pas le mécanisme de garantie
9. Registre en tableur vs outil dédié
Pour les organisations avec <30 activités de traitement et <10 fournisseurs, un tableur fonctionne. Au-delà :
- Les tableurs deviennent ingérables pour les références croisées (sous-traitants ultérieurs, AIPD, bases légales)
- Pas d’automatisation du rafraîchissement des données fournisseur
- Pas d’alertes sur les fiches obsolètes
- Pas de support multilingue si registre FR + EN nécessaire
- Pas de piste d’audit des changements
Legiscope automatise la maintenance du registre : l’IA parse les DPA fournisseurs pour remplir les fiches sous-traitant, alerte sur les TIA manquantes pour les transferts internationaux, versionne chaque changement, génère l’export que la CNIL demande lors des inspections. Pour une société de 100 salariés avec 30 activités de traitement, le gain de temps est de 100-200 heures par an.
10. Le « premier document que la CNIL demande »
Toute inspection CNIL commence par une demande du registre. L’inspecteur CNIL échantillonne ensuite 5-10 fiches et demande la documentation justificative : DPA signés, AIPD, preuves de consentement, journaux de suppression de conservation.
Si le registre est incomplet ou obsolète, le reste de l’inspection en cascade défavorablement. Si le registre est complet et bien tenu, l’inspection est en grande partie un exercice de confirmation.
Pour les guides d’implémentation connexes : Article 28 RGPD, Article 35 RGPD AIPD, exemple registre des traitements RGPD, data privacy compliance guide.
Conclusion
Le registre n’est pas de la paperasse — c’est le centre nerveux opérationnel d’un programme de confidentialité. Tout autre artefact de conformité (AIPD, DPA, réponse à violation, gestion des demandes des personnes concernées) trace ses racines dans les fiches du registre. Investir dans un registre complet et bien tenu se rentabilise dès la première fois qu’un régulateur le demande.
FAQ
Le registre des traitements est-il obligatoire pour les petites entreprises ?
L’article 30(5) prévoit une exemption étroite pour les organisations de moins de 250 salariés, mais uniquement si le traitement est occasionnel, n’inclut pas de catégories particulières, et ne pose pas de risque. En pratique, virtuellement aucune entreprise ne remplit ces trois conditions. Considérez le registre comme obligatoire.
Quelle est la différence entre un registre responsable et un registre sous-traitant ?
Les responsables tiennent un registre listant toutes leurs activités de traitement (article 30(1), 8 champs obligatoires). Les sous-traitants tiennent un registre listant les catégories de traitements qu’ils effectuent pour le compte de chaque responsable (article 30(2), 5 champs obligatoires).
À quelle fréquence le registre doit-il être mis à jour ?
Trimestriel pour les changements de fournisseurs et sous-traitants ultérieurs. Annuel pour la revue complète. Immédiatement lorsqu’une nouvelle activité de traitement est introduite ou lorsqu’une mise à jour réglementaire majeure affecte une fiche existante.
Le registre doit-il suivre un format spécifique ?
Le RGPD n’impose pas de format. L’article 30(3) requiert qu’il soit par écrit, y compris en format électronique, et mis à disposition de l’autorité de contrôle sur demande. Les tableurs fonctionnent pour les petites opérations ; les outils dédiés deviennent nécessaires au-delà de 30 activités ou 10 fournisseurs.
Puis-je déléguer la maintenance du registre à mon DPO ?
Le DPO peut coordonner la maintenance du registre mais le responsable demeure responsable (article 24). Bonne pratique : les responsables des unités opérationnelles remplissent les fiches pour leurs traitements, le DPO révise pour complétude et qualité, et le responsable approuve trimestriellement.
See Legiscope in action
AI-powered GDPR compliance that saves 340+ hours/year. Trusted by compliance professionals across Europe.
Request a demo