Vous savez que vous devez tenir un registre des traitements RGPD mais vous bloquez sur la page blanche ? Voici la méthode en 6 étapes pour structurer votre registre, sans avocat.
Étape 1 — Recensez tous vos traitements
Listez toutes les opérations qui collectent ou utilisent des données personnelles dans votre organisation. La plupart des TPE en oublient au moins 5.
Sources fréquemment oubliées
- Formulaire de contact du site web
- Newsletter / liste d'abonnés
- Comptes clients en ligne
- Carte de fidélité physique
- Vidéosurveillance des locaux
- Candidatures spontanées reçues par mail
- Paie et bulletins de salaire
- Géolocalisation des véhicules pros
- Tickets de support client (Crisp, Intercom…)
- Calendly ou agenda de rendez-vous
- Avis clients (Google Reviews, Trustpilot…)
- Cookies analytics du site
Comptez en général 5 à 30 traitements selon votre activité.
Étape 2 — Structurez chaque traitement selon l'article 30
Pour chaque traitement identifié, créez une fiche avec les 9 mentions obligatoires de l'article 30 : finalité, personnes concernées, catégories de données, destinataires, transferts hors UE, durées, mesures de sécurité, base légale.
Voir des exemples concrets par secteur : e-commerce · restaurant.
Étape 3 — Documentez la base légale (article 6 RGPD)
L'article 6 du RGPD prévoit 6 bases légales possibles. Pour chaque traitement, identifiez celle qui s'applique :
| Base légale | Quand l'utiliser |
|---|---|
| Consentement (6.1.a) | Newsletter, cookies non essentiels, marketing direct |
| Contrat (6.1.b) | Gestion client, livraison, exécution prestation |
| Obligation légale (6.1.c) | Paie, facturation, archivage 10 ans |
| Intérêt légitime (6.1.f) | Prospection B2B, sécurité, vidéosurveillance |
| Mission d'intérêt public (6.1.e) | Rare en privé (surtout administrations) |
| Intérêts vitaux (6.1.d) | Très rare (urgence vitale) |
Attention : beaucoup de TPE inscrivent « consentement » partout par défaut. C'est faux. Pour vos clients existants, la base est contrat (6.1.b). Pour la paie, c'est obligation légale (6.1.c).
Mal qualifier la base légale = la CNIL peut requalifier en cas de contrôle et sanctionner.
Étape 4 — Identifiez vos sous-traitants
Pour chaque outil que vous utilisez qui traite des données personnelles, identifiez-le comme sous-traitant au sens du RGPD :
- Hébergeur (OVH, Vercel, AWS, Scaleway)
- Email transactionnel (Mailgun, Resend, SendGrid)
- CRM (HubSpot, Pipedrive, Salesforce)
- Paiement (Stripe, Mollie, PayPal)
- Analytics (Google Analytics, Plausible, Matomo)
- Support client (Intercom, Crisp, Zendesk)
- Newsletter (Brevo, Mailchimp, Klaviyo)
Pour chaque sous-traitant, vous devez :
- Le lister dans la colonne « Sous-traitants »
- Signer un contrat conforme à l'article 28 RGPD (livré dans notre audit RGPD à 490 €)
- Si transfert hors UE : préciser les garanties (clauses contractuelles types, décision d'adéquation…)
Étape 5 — Définissez vos durées de conservation
Pour chaque traitement, indiquez deux durées distinctes :
- Base active : tant que vous utilisez la donnée au quotidien
- Archivage intermédiaire : tant que la loi vous oblige à conserver (mais sans usage commercial)
Cas typiques :
| Type de donnée | Durée active | Archivage |
|---|---|---|
| Données clients (actifs) | Relation + 3 ans | 10 ans (factures) |
| Données prospects | 3 ans dernier contact | Suppression |
| Candidatures non retenues | 2 ans après dernier contact | Suppression |
| Vidéosurveillance | 30 jours max | Aucun (sauf incident) |
| Bulletins de paie | Durée du contrat | 5 ans |
| Cookies analytics | 13 mois max | Aucun |
Étape 6 — Mettez à jour à chaque changement
Le registre est un document vivant. À chaque :
- Nouveau formulaire mis en ligne
- Nouvel outil souscrit (CRM, mailing…)
- Changement d'hébergeur
- Nouveau type de données collectées
→ Mettez à jour la fiche concernée + datez chaque modification.
Un registre figé daté de 2022 est presque pire qu'aucun registre : il prouve que vous saviez devoir le faire mais que vous avez abandonné.
Vous voulez aller au-delà du registre ?
Le registre est une obligation parmi d'autres. Pour une conformité complète, notre audit RGPD à 490 € scanne votre site, génère un rapport personnalisé et vous livre 4 documents RGPD prêts à publier + un registre des traitements pré-rempli à partir de votre stack technique réelle.
Liens utiles :
- Guide complet du registre des traitements
- 5 erreurs courantes à éviter
- Sanctions CNIL en cas d'absence
Notre audit RGPD du site web scanne votre site (cookies, trackers, formulaires, pages légales), génère un rapport personnalisé (à partir de 20 à 30 pages, selon la complexité de votre activité), et inclut 4 modèles RGPD prêts à publier + le Kit Conformité Interne complet (registre + contrat Art. 28 + procédure violation 72 h + 13 templates emails droits RGPD).
490 € TTC, livré sous 24 h ouvrées, sans abonnement.