Registre traitements RGPD : modèle PME (Art. 30)

Le registre des activités de traitement est souvent le premier document demandé lors d'un contrôle CNIL. Obligatoire depuis mai 2018, il reste pourtant absent dans de nombreuses PME. Voici comment le créer et le maintenir correctement.

L'obligation légale (Article 30 du RGPD)

L'Article 30 du RGPD impose à tout responsable de traitement de tenir un registre des activités de traitement effectuées sous sa responsabilité. Ce registre doit être mis à disposition des autorités de contrôle sur demande.

Ce n'est pas un document public — il est à usage interne et pour les autorités. Mais son absence ou son inexactitude constitue une violation du RGPD sanctionnable.

Qui est concerné ?

La règle générale : Toute organisation traitant des données personnelles doit tenir un registre.

L'exception pour les PME (Article 30.5) : Les entreprises de moins de 250 salariés sont exemptées sauf si :

• Le traitement est susceptible de comporter un risque pour les droits et libertés des personnes
• Le traitement n'est pas occasionnel
• Le traitement porte sur des catégories particulières de données (santé, opinions politiques, données syndicales, données biométriques ou génétiques)

En pratique, cette exception est extrêmement limitée. Si vous traitez des données clients, employés, prospects, ou utilisateurs d'une application — même en tant que TPE — vous êtes presque certainement concerné.

Note : Les sous-traitants doivent aussi tenir leur propre registre (Article 30.2), distinct de celui du responsable de traitement.

Les 12 champs obligatoires du registre

L'Article 30 liste précisément ce que doit contenir chaque fiche de traitement.

Pour le responsable de traitement (Article 30.1) :

1. Nom et coordonnées du responsable de traitement (et du DPO si applicable)
2. Finalités du traitement : pourquoi vous traitez ces données (facturation, recrutement, newsletter...)
3. Catégories de personnes concernées : clients, salariés, prospects, fournisseurs...
4. Catégories de données personnelles : nom, email, données bancaires, adresse IP...
5. Catégories de destinataires : qui a accès aux données (service RH, prestataires, tiers...)
6. Transferts vers des pays tiers : avec les garanties appropriées (clauses contractuelles types, BCR...)
7. Délais prévus pour l'effacement : durée de conservation pour chaque catégorie de données
8. Description des mesures de sécurité : chiffrement, contrôle d'accès, pseudonymisation...

Informations complémentaires recommandées (non obligatoires mais utiles) :

• Base légale du traitement
• Lieu de stockage des données
• Sous-traitants avec leur pays d'établissement
• Référence à la DPIA si applicable

Exemple : registre d'une PME e-commerce

Voici trois fiches de traitement typiques pour un site e-commerce de 20 salariés.

Fiche 1 : Gestion des commandes

| Champ | Valeur | |-------|--------| | Finalité | Traitement et suivi des commandes clients | | Base légale | Exécution du contrat | | Personnes concernées | Clients | | Données | Nom, prénom, adresse, email, téléphone, historique commandes, données de paiement (token, pas numéro complet) | | Destinataires | Service logistique, transporteur, prestataire de paiement | | Transferts hors UE | Stripe (USA) — clauses contractuelles types | | Conservation | 10 ans (obligation comptable) puis suppression | | Sécurité | Chiffrement TLS, accès restreint au service commercial |

Fiche 2 : Recrutement

| Champ | Valeur | |-------|--------| | Finalité | Gestion des candidatures et recrutement | | Base légale | Mesures précontractuelles | | Personnes concernées | Candidats | | Données | CV, lettre de motivation, entretiens, évaluations | | Destinataires | RH, managers concernés | | Transferts hors UE | Aucun | | Conservation | 2 ans après dernier contact pour les candidats non retenus | | Sécurité | Accès restreint RH, suppression automatique après délai |

Fiche 3 : Newsletter marketing

| Champ | Valeur | |-------|--------| | Finalité | Communication marketing et fidélisation | | Base légale | Consentement (RGPD Art. 6.1.a) | | Personnes concernées | Abonnés (clients + prospects ayant consenti) | | Données | Email, prénom, historique d'ouvertures, clics | | Destinataires | Prestataire d'emailing (Mailchimp / Brevo) | | Transferts hors UE | Mailchimp (USA) — clauses contractuelles types | | Conservation | Jusqu'au désabonnement + 3 ans | | Sécurité | Double opt-in, lien de désabonnement dans chaque email |

Format et outil recommandés

Le RGPD ne prescrit pas de format particulier. En pratique, trois options existent :

Tableur (Excel/Google Sheets) : Solution simple pour les PME avec peu de traitements. Suffisant si bien maintenu. Inconvénient : pas d'alerte sur les mises à jour nécessaires.

Logiciel dédié : Solutions comme Didomi, Axeptio, ou les modules de plateformes RGPD. Coût mensuel mais maintenance facilitée.

Document Word/PDF : Déconseillé pour les PME avec plus de 5-6 traitements — devient rapidement ingérable.

Notre recommandation pour une PME : Un tableur structuré avec une ligne par traitement et les 8 colonnes obligatoires. Simple, gratuit, suffisant.

Erreurs fréquentes à éviter

Confondre le registre et la politique de confidentialité : La politique de confidentialité est publique et destinée aux utilisateurs. Le registre est interne et destiné aux autorités. Les deux sont nécessaires mais distincts.

Ne pas distinguer responsable de traitement et sous-traitant : Si vous utilisez un prestataire cloud pour stocker vos données, vous êtes responsable de traitement et lui est sous-traitant. Il doit vous fournir son propre registre (Article 28).

Créer le registre une fois et ne plus le mettre à jour : Le registre doit refléter la réalité de vos traitements. Toute nouvelle application, tout nouveau prestataire, toute modification des finalités doit être documentée.

Sous-estimer le nombre de traitements : Une PME de 20 personnes a typiquement entre 15 et 30 traitements distincts : gestion RH, paie, recrutement, clients, prospects, fournisseurs, vidéosurveillance, site web, cookies, newsletter, support client...

Ignorer les sous-traitants : Chaque outil SaaS que vous utilisez (Slack, Google Workspace, Salesforce, Stripe...) représente un transfert de données personnelles à un sous-traitant. Ces flux doivent figurer dans votre registre avec les garanties appropriées.

Quand devez-vous mettre à jour le registre ?

• Mise en place d'un nouvel outil ou logiciel traitant des données personnelles
• Changement de prestataire hébergeant vos données
• Nouvelle finalité de traitement
• Modification des durées de conservation
• Déploiement d'une nouvelle fonctionnalité sur votre site ou application
• Fusion, acquisition, ou restructuration

La CNIL recommande une revue annuelle complète du registre, indépendamment des mises à jour ponctuelles.

WarDek et le registre automatisé

WarDek identifie automatiquement lors d'un scan les sous-traitants actifs sur votre site (services tiers, CDN, outils analytics, pixels de suivi) et les transferts de données hors UE associés. Ces données alimentent directement votre registre des traitements en pré-remplissant la section "destinataires" et "transferts hors UE".

Pour les traitements internes (RH, comptabilité), WarDek propose des modèles pré-remplis adaptés à votre secteur d'activité.

Commencez par un scan gratuit pour cartographier automatiquement vos sous-traitants techniques.

Ressources complémentaires

• Cookies et RGPD : gérer les cookies conformément à la CNIL
• DPIA : analyse d'impact : quand et comment réaliser une AIPD
• Le modèle officiel de la CNIL est disponible sur cnil.fr