Le registre des traitements est la colonne vertébrale de la conformité RGPD. L’Art. 30 impose à tout responsable de traitement de documenter l’ensemble de ses activités de traitement dans un registre structuré. Pourtant, en pratique, la majorité des registres audités sont incomplets, obsolètes ou structurellement inadaptés. Ce guide détaille le contenu obligatoire, fournit un modèle conforme au template CNIL et identifie les erreurs les plus fréquentes.
Points Clés
- L’Art. 30(1) RGPD impose un modèle de registre des traitements RGPD contenant huit catégories d’informations obligatoires pour le responsable de traitement.
- Le sous-traitant a une obligation distincte (Art. 30(2)) avec un registre portant sur les catégories de traitements effectués pour le compte de chaque responsable.
- L’exception des organisations de moins de 250 employés (Art. 30(5)) est très limitée : elle ne s’applique que si le traitement est occasionnel et ne porte ni sur des données sensibles ni sur des données relatives aux condamnations pénales.
- La CNIL met à disposition un modèle de registre simplifié, mais ce modèle ne couvre pas toutes les exigences de l’Art. 30.
- L’absence de registre ou un registre incomplet est un manquement systématiquement relevé lors des contrôles CNIL.
Contenu obligatoire : Art. 30(1) RGPD
L’Art. 30(1) RGPD fixe le contenu obligatoire du registre pour le responsable de traitement :
a) Identification du responsable : nom et coordonnées du responsable de traitement, du représentant le cas échéant, et du DPO.
b) Finalités du traitement : chaque traitement doit être associé à une ou plusieurs finalités déterminées, explicites et légitimes. Les finalités vagues (« amélioration de nos services ») sont insuffisantes.
c) Catégories de personnes concernées et de données : identifier les personnes (clients, employés, prospects, patients) et les types de données traitées (identité, coordonnées, données bancaires, données de santé).
d) Catégories de destinataires : toute personne ou entité à qui les données sont communiquées, y compris les sous-traitants et les destinataires dans des pays tiers.
e) Transferts internationaux : le cas échéant, les transferts vers des pays tiers ou organisations internationales, avec identification des pays et le mécanisme de garantie utilisé (clauses contractuelles types, décision d’adéquation, BCR).
f) Durées de conservation : les délais prévus pour l’effacement des différentes catégories de données, ou les critères utilisés pour déterminer ces délais. Les durées doivent être justifiées par la finalité ou par une obligation légale.
g) Mesures de sécurité : description générale des mesures techniques et organisationnelles de sécurité visées à l’Art. 32(1) RGPD.
Registre du sous-traitant : Art. 30(2) RGPD
Le sous-traitant doit tenir un registre distinct, contenant :
- Nom et coordonnées de chaque responsable de traitement pour le compte duquel il agit
- Catégories de traitements effectués pour le compte de chaque responsable
- Transferts internationaux (le cas échéant)
- Description générale des mesures de sécurité
Ce registre est souvent négligé par les prestataires IT et les éditeurs SaaS, alors qu’il est obligatoire dès lors que l’organisme agit en qualité de sous-traitant.
Exception des moins de 250 employés : Art. 30(5)
L’Art. 30(5) RGPD prévoit une dérogation pour les entreprises de moins de 250 employés. Mais cette exception est extrêmement restrictive : elle ne s’applique que si le traitement est :
- Occasionnel (pas récurrent)
- Non susceptible d’engendrer un risque pour les droits des personnes
- Ne porte pas sur des données sensibles (Art. 9) ni sur des données relatives aux condamnations pénales (Art. 10)
En pratique, toute entreprise qui traite des données de clients, d’employés ou de prospects de manière récurrente – c’est-à-dire la quasi-totalité des entreprises – est tenue de tenir un registre. La CNIL le confirme explicitement dans ses recommandations.
Modèle de registre CNIL : structure et limites
La CNIL propose un modèle de registre sous forme de tableau, organisé par fiche de traitement. Chaque fiche contient :
| Rubrique | Contenu |
|---|---|
| Activité de traitement | Nom de l’activité (ex : « Gestion de la paie ») |
| Responsable | Nom, coordonnées, DPO |
| Finalités | Description précise de chaque finalité |
| Base juridique | Art. 6(1) RGPD applicable |
| Catégories de données | Liste des types de données |
| Catégories de personnes | Liste des personnes concernées |
| Destinataires | Internes et externes |
| Transferts hors UE | Pays, garanties |
| Durée de conservation | Par catégorie de données |
| Mesures de sécurité | Description générale |
Limites du modèle CNIL : le template ne couvre pas explicitement la base juridique (bien qu’elle soit recommandée), ni le résultat de l’analyse d’impact le cas échéant, ni le suivi des demandes d’exercice de droits. Un registre complet devrait intégrer ces informations complémentaires.
Erreurs fréquentes dans les registres
Finalités trop vagues
« Traitement de données clients » n’est pas une finalité au sens du RGPD. Chaque activité de traitement doit avoir une finalité déterminée, explicite et légitime (Art. 5(1)(b) RGPD). Exemples corrects : « Gestion des commandes et de la livraison », « Prospection commerciale par email », « Gestion de la relation client après-vente ».
Durées de conservation absentes ou forfaitaires
Inscrire « durée nécessaire » ou « selon la réglementation » sans précision est insuffisant. La CNIL attend des durées de conservation chiffrées, justifiées par la finalité ou par un texte légal. Par exemple : « 3 ans à compter du dernier contact pour les prospects (recommandation CNIL) », « 5 ans à compter de la clôture de l’exercice pour les factures (Art. L.123-22 du Code de commerce) ».
Registre figé et non maintenu
Un registre réalisé une seule fois et jamais mis à jour est un manquement. Tout nouveau traitement, modification de finalité, changement de sous-traitant ou transfert international doit être documenté. La CNIL recommande une revue au minimum annuelle du registre.
Confusion entre registre et cartographie IT
Le registre des traitements n’est pas un inventaire d’applications. Il est organisé par activité de traitement (finalité), pas par outil. Un même outil peut supporter plusieurs traitements (le CRM sert la prospection et la gestion client) et un même traitement peut utiliser plusieurs outils.
Oubli du registre sous-traitant
Les organismes qui agissent à la fois comme responsable et sous-traitant (éditeurs SaaS, ESN) doivent tenir deux registres distincts : un pour leurs propres traitements (Art. 30(1)) et un pour les traitements réalisés pour le compte de leurs clients (Art. 30(2)).
Automatisation du registre
La tenue manuelle du registre (tableur Excel) atteint rapidement ses limites : problèmes de versionnement, absence de workflow de validation, difficulté de recherche, risque d’obsolescence.
Legiscope génère et maintient automatiquement le registre des traitements à partir des informations collectées lors de l’audit initial, avec mise à jour continue lors de chaque modification détectée. Le registre est exportable au format requis par la CNIL et intègre automatiquement les liens vers les analyses d’impact et les contrats de sous-traitance.
Les fonctionnalités clés d’un outil de gestion du registre :
- Création guidée de fiches de traitement
- Workflow de validation (DPO, métiers)
- Alertes de révision périodique
- Export PDF/Excel pour les contrôles
- Liaison avec le registre des violations et les analyses d’impact
- Historique des modifications
Audit du registre : méthode
L’audit du registre des traitements est le premier contrôle réalisé par la CNIL lors d’une mission sur place. Voici les points vérifiés :
Exhaustivité : tous les traitements de l’organisme sont-ils documentés ? Comparer avec les applications IT, les processus métier et les flux de données.
Conformité du contenu : chaque fiche contient-elle les huit catégories d’informations de l’Art. 30(1) ?
Actualité : le registre reflète-t-il l’état actuel des traitements ? Vérifier les dates de dernière mise à jour.
Cohérence : les informations du registre sont-elles cohérentes avec les mentions d’information, les contrats de sous-traitance et les analyses d’impact ?
FAQ
Le registre des traitements RGPD peut-il être tenu au format Excel ?
Oui. Le RGPD n’impose aucun format particulier. Un tableur Excel est acceptable, à condition qu’il contienne les huit catégories d’informations de l’Art. 30(1), qu’il soit tenu à jour et qu’il puisse être mis à disposition de l’autorité de contrôle sur demande. Cependant, pour les organismes ayant plus de 20-30 traitements, un outil dédié est recommandé pour garantir la maintenabilité.
Combien de fiches de traitement un registre doit-il contenir ?
Il n’y a pas de nombre imposé. Un organisme de 50 employés a typiquement entre 15 et 40 activités de traitement (RH, paie, comptabilité, CRM, marketing, vidéosurveillance, etc.). L’important est l’exhaustivité : chaque traitement de données personnelles distinct par sa finalité doit faire l’objet d’une fiche.
Le registre doit-il être mis à disposition du public ?
Non. L’Art. 30 impose de tenir le registre à disposition de l’autorité de contrôle sur demande, pas du public. Toutefois, les informations du registre alimentent les mentions d’information (Art. 13 et 14 RGPD), qui elles sont publiques.
Quelle sanction en cas d’absence de registre ?
L’absence de registre constitue un manquement à l’Art. 30 RGPD, sanctionnable au titre de l’Art. 83(4)(a) RGPD : amendes pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial. En pratique, la CNIL relève ce manquement comme facteur aggravant dans les sanctions globales et a prononcé des mises en demeure spécifiques pour absence de registre.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial