← Protection des données personnelles
Qu'est-ce que le registre des traitements ?
Le registre des activités de traitement est le document central de la conformité RGPD. Il recense l'ensemble des traitements de données personnelles réalisés par une organisation, qu'elle soit responsable de traitement ou sous-traitante. Son obligation est posée par l'article 30 du RGPD.
Concrètement, chaque ligne du registre correspond à un traitement distinct : la gestion des ressources humaines, le suivi des clients, la vidéosurveillance, l'envoi de newsletters, la gestion des candidatures, etc. Pour chaque traitement, un ensemble d'informations précises doit être documenté.
Qui doit tenir un registre ?
En principe, toute organisation soumise au RGPD qui traite des données personnelles. L'article 30, paragraphe 5 prévoit une exception pour les entreprises de moins de 250 salariés, mais cette exception est en réalité très limitée : elle ne s'applique que si les traitements ne présentent pas de risque pour les droits et libertés des personnes, ne sont pas occasionnels et ne portent pas sur des catégories particulières de données.
En pratique, la quasi-totalité des organisations doit tenir un registre — y compris les TPE, les associations et les collectivités. Dès qu'une organisation gère des données de clients, de salariés ou d'adhérents de façon régulière, l'exception ne s'applique pas.
Que doit contenir le registre ?
L'article 30, paragraphe 1 du RGPD liste les informations obligatoires pour chaque traitement.
Article 30(1), RGPD · Contenu obligatoire du registre
Le registre doit comprendre : le nom et les coordonnées du responsable du traitement et du DPO ; les finalités du traitement ; les catégories de personnes concernées et de données traitées ; les catégories de destinataires ; les transferts vers des pays tiers ; les délais de conservation ; une description des mesures de sécurité.
Les informations complémentaires utiles
Au-delà des mentions obligatoires, il est recommandé d'ajouter dans le registre : la base légale de chaque traitement, les sous-traitants impliqués avec leur référence contractuelle, l'indication de la nécessité ou non d'une AIPD, et le responsable opérationnel du traitement au sein de l'organisation. Ces informations facilitent la gestion quotidienne de la conformité et les réponses aux demandes d'exercice de droits.
Comment construire son registre concrètement ?
La première étape est l'inventaire des traitements : recenser toutes les activités qui impliquent des données personnelles, en interrogeant chaque service de l'organisation (RH, commercial, informatique, communication, comptabilité). Cet inventaire révèle souvent des traitements oubliés ou non documentés.
La deuxième étape est la qualification de chaque traitement : identifier la finalité précise, les données concernées, la base légale, les destinataires et les durées de conservation. C'est souvent l'étape la plus longue car elle nécessite d'interroger les métiers.
La troisième étape est la mise en forme et la documentation. Le registre peut prendre la forme d'un tableur, d'un outil dédié (la CNIL propose un modèle gratuit) ou d'un logiciel de conformité. La forme importe peu — ce qui compte c'est que le registre soit tenu à jour et accessible en cas de contrôle.
💡 À retenir : le registre n'est pas un document figé. Il doit être mis à jour à chaque nouveau traitement, à chaque modification significative d'un traitement existant et a minima une fois par an dans le cadre d'une revue de conformité.
Le registre comme outil de pilotage
Au-delà de l'obligation légale, le registre est un outil de pilotage précieux. Il permet d'identifier les traitements qui nécessitent une AIPD, de vérifier que les durées de conservation sont respectées, de s'assurer que les contrats de sous-traitance sont en place et de répondre rapidement aux demandes d'exercice de droits. Une organisation qui tient un registre à jour a une vision claire de son exposition réglementaire et peut agir de manière proactive.
La construction du registre des traitements est la première étape de tout accompagnement RGPD. Elle peut être réalisée avec l'appui d'un DPO externe qui apporte la méthode et l'expérience pour aller vite et bien.
Vous souhaitez construire votre registre ?
Je vous accompagne pas à pas.