Data Privacy

Registre des traitements RGPD : modèle Excel CNIL 2026

Registre des traitements RGPD : modèle Excel CNIL, article 30 RGPD, champs obligatoires, exemples 2026. Téléchargement et walkthrough.

TD
Dr. Thiébaut Devergranne
23 mai 20265 min read

En une phrase. Le registre des activités de traitement (RAT) — ROPA en anglais — est obligatoire en vertu de l’article 30 RGPD pour la quasi-totalité des organisations. La CNIL met à disposition un modèle Excel gratuit depuis 2018 (actualisé en 2024) couvrant les 8 champs minimaux : nom du responsable, finalités, catégories de personnes/données, destinataires, transferts hors UE, durées de conservation, mesures de sécurité, sous-traitants. C’est le premier document demandé par la CNIL en cas de contrôle — son absence ou ses lacunes conduisent à 30 % des sanctions RGPD prononcées.

Le registre n’est pas un PowerPoint pour la direction : c’est l’outil de pilotage opérationnel de la conformité. Une PME bien organisée a entre 15 et 60 traitements ; une ETI entre 50 et 300 ; un grand groupe au-delà de 500. Ce guide détaille la structure exigée, le modèle CNIL, et les erreurs fréquentes qui font perdre du temps en audit ou en contrôle.

Pour les sujets connexes : audit RGPD, article 6 RGPD bases légales, exemple registre des traitements.

Points clés

  • Article 30 RGPD : registre obligatoire dès 250 salariés OU traitements à risque OU catégories particulières OU données pénales.
  • En pratique : obligatoire pour 95 % des organisations (l’exception 250 salariés est très restrictive).
  • Modèle CNIL gratuit en Excel — base de référence en France.
  • Deux registres distincts : responsable de traitement (art. 30.1) ET sous-traitant (art. 30.2).
  • Le registre doit être tenu à jour et présentable immédiatement à la CNIL en cas de contrôle.

1. Article 30 RGPD : le texte

L’article 30 §1 RGPD oblige chaque responsable de traitement à tenir un registre contenant :

  • (a) Nom et coordonnées du responsable + DPO + co-responsable
  • (b) Finalités du traitement
  • © Catégories de personnes et de données
  • (d) Catégories de destinataires
  • (e) Transferts hors UE et garanties
  • (f) Durées de conservation
  • (g) Description générale des mesures de sécurité (renvoi article 32)

L’article 30 §2 impose un registre distinct au sous-traitant, avec son propre contenu (responsable, finalités, transferts, sécurité).

2. Qui doit tenir un registre ?

L’article 30 §5 prévoit une exemption pour les organisations < 250 salariés, uniquement si :

  • Traitement non systématique, ET
  • Traitement non susceptible de comporter un risque pour les droits et libertés, ET
  • Absence de catégories particulières (santé, biométrie, opinions politiques…), ET
  • Absence de données pénales

En pratique : la moindre fiche RH avec arrêt maladie (donnée santé), la moindre vidéosurveillance (suivi systématique), le moindre cookie publicitaire (suivi en ligne) déclenchent l’obligation. La CNIL considère que 95 % des organisations doivent tenir un registre.

3. Modèle CNIL : structure officielle

Le modèle Excel de la CNIL (téléchargeable sur cnil.fr) contient :

Onglet Contenu
Introduction Mode d’emploi
Registre RT Une ligne par traitement
Registre ST Pour sous-traitants
Aide finalités Exemples de finalités
Aide durées Exemples de durées légales
Glossaire Définitions clés

Le modèle CNIL est la référence française — son utilisation facilite les contrôles (les inspecteurs connaissent la structure).

4. Champs du registre RT (détaillés)

Champ Exemple Difficulté
N° fiche RT-001 Trivial
Nom du traitement Gestion de la paie Trivial
Responsable DRH Trivial
Finalité principale Établir et verser les rémunérations Moyen — précision
Finalités secondaires Déclarations sociales, attestations Moyen
Base légale Obligation légale (Code du travail) Important — voir article 6
Catégories personnes Salariés, anciens salariés Trivial
Catégories données Identité, NIR, RIB, rémunération Détaillé
Catégories particulières Néant ou justification Critique
Destinataires internes DRH, Comptabilité, Direction Trivial
Destinataires externes URSSAF, mutuelle, fisc Détaillé
Transferts hors UE Non / Oui + garanties Critique
Durées de conservation 5 ans actif + 50 ans archive (NIR) Référencé légalement
Mesures de sécurité Chiffrement, MFA, journalisation Renvoi à PSSI
Sous-traitants associés Éditeur de paie, banque Lien avec registre ST

5. Erreurs fréquentes

  1. Finalités trop génériques : “Gestion des ressources humaines” est trop large. Préférer une fiche par sous-traitement.
  2. Base légale incohérente : indiquer “consentement” pour la paie alors que c’est obligation légale.
  3. Catégories particulières manquées : arrêt maladie = donnée santé ; photo badge = donnée biométrique potentielle.
  4. Durées de conservation fictives : “le temps nécessaire” n’est pas une durée. Préciser en jours/mois/années.
  5. Pas de mise à jour : registre figé depuis 2018 = registre invalide.
  6. Pas de registre sous-traitant distinct si l’organisation traite aussi pour des tiers.

6. Combien de fiches typiquement ?

Volume indicatif :

Taille Nombre de fiches typique
TPE 5 personnes 8-15
PME 50 personnes 20-50
ETI 500 personnes 60-150
Grand groupe 5 000+ 200-800
Banque, mutuelle 300-1 500
Administration 100-500

Trop de fiches = registre illisible ; trop peu = lacunaire. Le bon niveau est la finalité métier autonome (la paie ; le recrutement ; la prospection commerciale ; chacune = 1 fiche).

7. Outils alternatifs au modèle Excel

Outil Type Avantages Limites
Modèle CNIL Excel Tableur Gratuit, simple Pas multi-utilisateur, peu évolutif
Legiscope SaaS RGPD Multi-utilisateur, lien AIPD/registre Payant
OneTrust SaaS entreprise Très complet Cher (60k€+/an)
Outils internes (SharePoint, Notion) Maison Adapté À maintenir

Pour une PME : démarrer Excel CNIL, basculer en SaaS quand > 50 fiches.

8. Articulation registre / AIPD

L’AIPD (Analyse d’Impact relative à la Protection des Données) est obligatoire pour les traitements à risque élevé (article 35). Le registre identifie les traitements concernés ; l’AIPD est un document distinct plus approfondi.

Critères CNIL d’AIPD obligatoire (au moins 2 sur 9) : évaluation/scoring, profilage automatisé, surveillance systématique, données sensibles, données à grande échelle, recoupement, personnes vulnérables, technologies innovantes, exclusion d’un droit.

9. Mise à jour du registre

Fréquence recommandée :

  • Revue trimestrielle : nouveaux traitements, modifications
  • Mise à jour immédiate : nouveau sous-traitant, nouvelle finalité, changement de base légale
  • Revue annuelle complète : par le DPO avec les métiers

Le RGPD n’impose pas de fréquence — la CNIL exige le registre à jour à la date du contrôle. Un registre datant de plus de 12 mois est mal perçu.

10. Présentation à la CNIL en cas de contrôle

Format attendu :

  • Excel ou PDF lisible
  • Présenté immédiatement (en quelques minutes)
  • Toutes les fiches accessibles
  • Versionning ou historique disponible
  • Indication de la date de dernière mise à jour

Astuce : préparer un registre “version contrôle” exportable rapidement, distinct de la version de travail.

11. Sanctions pour absence ou défaillance du registre

L’article 83 §4 RGPD prévoit jusqu’à 10 M€ ou 2 % du CA mondial pour manquement à l’article 30.

Cas notables :

  • SAN-2022-009 (Free) : 300 000 € incluant registre incomplet
  • SAN-2021-013 (SGEN) : 50 000 € registre lacunaire + autres
  • SAN-2024-006 : 40 000 € sécurité + registre inadéquat
  • Plusieurs sanctions APD (BE), Garante (IT) pour défaut de registre

12. Bonnes pratiques 2026

  • Une fiche par finalité métier autonome
  • Numérotation stable (RT-001, RT-002…)
  • Lien hypertexte vers la mention d’information correspondante
  • Lien vers l’AIPD si applicable
  • Lien vers le contrat sous-traitant (DPA)
  • Tableau de bord : statut (validé / en cours / obsolète), date de dernière revue
  • Validation annuelle par le DPO avec compte-rendu en COMEX

FAQ

Suis-je obligé de tenir un registre des traitements ?

Quasi systématiquement oui. L’exemption de l’article 30 §5 (moins de 250 salariés) suppose 4 conditions cumulatives très restrictives. En pratique, dès qu’il y a vidéosurveillance, données santé d’employés, cookies publicitaires ou prospection commerciale, le registre est obligatoire.

Où télécharger le modèle CNIL de registre ?

Directement sur cnil.fr, dans la rubrique “Documentation” puis “Modèle de registre”. Le fichier Excel est gratuit, en français, mis à jour 2024. Existe en versions “simple” (PME/TPE) et “détaillé” (organisations complexes).

Combien de fiches doit contenir un registre type ?

Pour une PME de 50 personnes : 20-50 fiches. Pour une ETI de 500 personnes : 60-150. Pour une banque ou un grand groupe : 300-1 500. Le bon niveau de découpage est la finalité métier autonome — pas trop fin, pas trop large.

Faut-il un registre pour les sous-traitants ?

Si vous êtes sous-traitant pour le compte d’un responsable de traitement (par ex. agence web qui héberge des sites clients, prestataire RH externalisé), oui — registre distinct prévu par l’article 30 §2 RGPD, avec un contenu spécifique (responsable client, finalités confiées, transferts, sécurité).

À quelle fréquence mettre à jour le registre ?

Mise à jour immédiate à chaque modification matérielle (nouveau traitement, nouveau sous-traitant, changement de finalité). Revue trimestrielle par les métiers et annuelle par le DPO. Un registre non actualisé depuis plus de 12 mois est considéré comme non conforme par la CNIL.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Dr. Thiébaut Devergranne
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →