Avoir un registre, c'est bien. Avoir un registre conforme, c'est mieux. En 2024-2025, la CNIL a sanctionné plusieurs entreprises non pas pour absence de registre, mais pour registre incomplet ou trompeur. Voici les 5 erreurs les plus fréquentes — et comment les corriger.
Erreur n°1 — Oublier la moitié de ses sous-traitants
L'erreur la plus fréquente : ne lister que les outils « visibles » (Stripe, Mailchimp) et oublier la longue traîne : Cloudflare, Sentry, Datadog, Google Fonts, Hotjar, Calendly, Typeform, Loom, Notion, Slack, Zapier…
Conséquence : en cas de contrôle CNIL ou de violation de données, vous ne pouvez pas notifier les personnes concernées car vous ne savez pas chez qui leurs données circulent.
Correctif : faites l'inventaire de TOUS vos outils SaaS via votre relevé de carte bancaire pro des 12 derniers mois. Chaque ligne récurrente = potentiel sous-traitant à inscrire.
Erreur n°2 — Indiquer « consentement » partout
Beaucoup de TPE inscrivent « consentement » comme base légale pour tous leurs traitements, en pensant que c'est la base la plus sûre. C'est faux.
- Pour vos clients existants, la base est contrat (Art. 6.1.b) — vous n'avez pas besoin de leur consentement pour leur livrer ce qu'ils ont acheté.
- Pour la paie et la facturation, la base est obligation légale (Art. 6.1.c).
- Pour la vidéosurveillance et la sécurité IT, la base est intérêt légitime (Art. 6.1.f).
- Le consentement (Art. 6.1.a) est réservé à la newsletter, aux cookies non essentiels, au marketing direct.
Risque : si vous inscrivez « consentement » pour la paie et qu'un salarié retire son consentement, vous êtes piégé. La CNIL peut requalifier en cas de contrôle.
Erreur n°3 — Durées de conservation floues ou absentes
Inscrire « durée nécessaire à l'exécution » ou « aussi longtemps que nécessaire » ne suffit pas. La CNIL veut une durée précise en années.
Les durées standard :
| Type | Active | Archivage |
|---|---|---|
| Client actif | Relation + 3 ans | 10 ans (factures) |
| Prospect | 3 ans dernier contact | — |
| Candidature non retenue | 2 ans | — |
| Cookies analytics | 13 mois max | — |
| Vidéosurveillance | 30 jours max | — |
| Bulletin de paie | Durée contrat | 5 ans |
| Logs serveur | 6-12 mois | — |
| Logs WiFi public | 1 an (légal) | — |
Erreur n°4 — Confondre base active et archivage intermédiaire
Une donnée a deux vies :
- Base active : vous l'utilisez au quotidien (CRM, ERP, base marketing).
- Archivage intermédiaire : vous devez la conserver pour raison légale ou contentieuse, sans usage commercial — généralement déplacée dans un système d'archive avec accès restreint.
Erreur fréquente : laisser toutes les données en base active pendant 10 ans « au cas où ». Or, garder un client inactif dans votre CRM marketing pendant 10 ans = vous êtes en infraction.
Correctif : passez vos clients inactifs en archivage après 3 ans d'inactivité commerciale. L'accès doit être restreint (seul le service comptable / SAV pour contentieux), aucune sollicitation commerciale possible.
Erreur n°5 — Registre figé daté de 2020 ou 2022
Un registre n'est pas un document one-shot. Il doit refléter l'état réel et actuel de vos traitements.
Un registre figé daté de 2022 est presque pire qu'une absence de registre :
- Il prouve que vous saviez devoir le tenir mais que vous avez abandonné
- Les sous-traitants listés ne correspondent plus à votre stack actuel
- En cas de violation impliquant un nouvel outil non listé, vous êtes en faute caractérisée
Bonne pratique : programmer une revue du registre tous les 6 mois (mettre un rappel récurrent). À chaque nouveau formulaire, nouvel outil SaaS, changement d'hébergeur : mettre à jour immédiatement.
Bonne pratique : ajoutez une colonne « Dernière MAJ » dans votre registre, et complétez-la à chaque modification — c'est une preuve de tenue active.
Bonus — Erreur n°6 : oublier le registre des sous-traitants
Si vous-même êtes sous-traitant au sens RGPD (vous traitez des données pour le compte d'un client : agence web, prestataire SaaS, ESN…), vous devez tenir un second registre (article 30.2 RGPD), distinct du registre de vos propres traitements de responsable.
Pensez à structurer deux registres séparés : un en tant que responsable de traitement (vos propres traitements) et un en tant que sous-traitant (les traitements que vous opérez pour le compte de vos clients).
Vérifiez votre registre avant un contrôle
Reprenez chaque point ci-dessus et vérifiez votre registre. Si vous cochez ne serait-ce qu'une seule erreur, corrigez-la immédiatement.
Pour aller plus loin : lisez les sanctions CNIL en cas d'absence ou de non-conformité. Ou automatisez tout avec notre audit RGPD à 490 €.
Notre audit RGPD du site web scanne votre site (cookies, trackers, formulaires, pages légales), génère un rapport personnalisé (à partir de 20 à 30 pages, selon la complexité de votre activité), et inclut 4 modèles RGPD prêts à publier + le Kit Conformité Interne complet (registre + contrat Art. 28 + procédure violation 72 h + 13 templates emails droits RGPD).
490 € TTC, livré sous 24 h ouvrées, sans abonnement.