Le registre des activités de traitement est la pierre angulaire de la conformité au RGPD. Il recense, de façon structurée, l'ensemble des traitements de données personnelles mis en œuvre par une organisation : qui les réalise, pour quoi, comment et avec quelles garanties. Prévu par l'article 30 du RGPD, il est en principe obligatoire pour tous les organismes, avec une dérogation partielle pour les plus petites structures. Cette fiche détaille qui doit le tenir, ce qu'il contient et comment le construire, à l'appui du RGPD et des sources officielles (cnil.fr).
L'essentiel
- Le registre est imposé par l'article 30 du RGPD et concerne en principe tous les organismes, publics comme privés, quelle que soit leur taille.
- Il distingue le registre du responsable de traitement et celui du sous-traitant.
- Une dérogation existe pour les organismes de moins de 250 salariés, mais elle est très limitée.
- Il doit refléter la réalité des traitements : finalités, catégories de données, destinataires, durées, sécurité.
- Il constitue le point de départ de toute démarche de mise en conformité et un outil de pilotage.
Qui doit tenir un registre ?
L'obligation pèse sur tout responsable de traitement et tout sous-traitant. Elle s'applique aux entreprises, associations, collectivités et professionnels libéraux dès lors qu'ils traitent des données personnelles. La taille de l'organisation n'exonère pas par principe : la CNIL rappelle que l'obligation concerne tous les organismes, quelle que soit leur taille.
Une dérogation est prévue pour les structures de moins de 250 salariés, mais elle ne joue pas si le traitement est susceptible de comporter un risque pour les droits et libertés des personnes, s'il n'est pas occasionnel, ou s'il porte sur des données sensibles (santé, opinions, etc.) ou relatives à des infractions. En pratique, presque toutes les entreprises tiennent des fichiers clients ou de paie réguliers : la dérogation est donc rarement applicable, et le registre s'impose dans la quasi-totalité des cas.
Ce que contient le registre
| Information | Détail |
|---|---|
| Responsable et contacts | Identité de l'organisme, du représentant et, le cas échéant, du DPO. |
| Finalités | Objectif de chaque traitement (gestion de la paie, prospection, etc.). |
| Catégories de personnes | Clients, salariés, prospects, fournisseurs. |
| Catégories de données | Identité, coordonnées, données bancaires, données sensibles éventuelles. |
| Destinataires | Services internes, sous-traitants, partenaires. |
| Transferts hors UE | Pays concernés et garanties encadrant le transfert. |
| Durées de conservation | Délai au terme duquel les données sont supprimées ou archivées. |
| Mesures de sécurité | Contrôle des accès, chiffrement, sauvegardes. |
Le registre du sous-traitant est légèrement différent : il liste les catégories de traitements réalisés pour le compte de chaque responsable, les transferts hors UE et les mesures de sécurité.
Pourquoi le tenir au-delà de l'obligation ?
Au-delà de la contrainte légale, le registre est l'outil central de la conformité. Il offre une vision d'ensemble des données traitées, met en lumière les traitements à risque qui nécessitent une analyse d'impact, facilite la réponse aux demandes des personnes (accès, effacement) et permet de prouver la conformité en cas de contrôle de la CNIL, conformément au principe de responsabilité (accountability). Un registre absent ou indigent constitue souvent le premier indice d'une non-conformité plus large.
Les démarches pour le construire
- Recenser les traitements en interrogeant chaque service (RH, commercial, comptabilité, informatique).
- Décrire chaque traitement : finalité, données, personnes concernées, destinataires.
- Documenter les durées de conservation et les justifier.
- Vérifier la base légale de chaque traitement (consentement, contrat, obligation légale, intérêt légitime).
- Décrire les mesures de sécurité mises en place.
- Tenir le registre à jour à chaque nouveau traitement ou modification ; la CNIL propose un modèle de base.
FAQ
Une petite entreprise est-elle dispensée de registre ?
Rarement en pratique. La dérogation pour les moins de 250 salariés ne joue pas dès que les traitements sont réguliers, à risque ou portent sur des données sensibles, ce qui est presque toujours le cas.
Le registre doit-il être transmis à la CNIL ?
Non. Il est tenu en interne, mis à jour, et présenté à la CNIL uniquement en cas de contrôle ou de demande.
Quel format pour le registre ?
Aucun format imposé. Un tableur structuré suffit pour une petite organisation ; la CNIL met à disposition un modèle de base.
Qui rédige le registre ?
Le responsable de traitement, souvent avec l'appui du DPO lorsqu'il existe. Chaque service contribue en décrivant ses propres traitements.