Le registre des activités de traitement est le premier document que la CNIL réclame en cas de contrôle. Sans lui, vous risquez jusqu'à 10 M€ ou 2 % de votre chiffre d'affaires mondial (article 83.4 du RGPD).
Ce guide vous explique en 5 minutes ce qu'est ce registre, qui est concerné, et ce qu'il doit contenir pour être conforme.
Qu'est-ce que le registre des traitements RGPD ?
Le registre est un document interne qui recense tous les traitements de données personnelles effectués par votre organisation : gestion clients, paie, newsletter, candidatures, vidéosurveillance, formulaires de contact, etc.
Il répond à trois questions par traitement :
- Quelles données personnelles utilisez-vous ?
- Pourquoi les utilisez-vous (finalité) ?
- Comment les sécurisez-vous, combien de temps, qui y a accès ?
Le registre est imposé par l'article 30 du RGPD. Il est obligatoire pour quasiment toutes les organisations. Il doit être immédiatement disponible en cas de contrôle CNIL.
Qui doit tenir un registre ? (et la fausse dispense des < 250 salariés)
Toutes les organisations sont concernées : entreprises, associations, collectivités, indépendants, auto-entrepreneurs, professions libérales.
Une dispense partielle existe pour les structures de moins de 250 salariés (article 30.5 RGPD), mais elle ne s'applique que si TOUS ces critères sont remplis simultanément :
- Les traitements ne présentent pas de risque pour les droits des personnes
- Les traitements sont occasionnels (pas réguliers)
- Pas de données sensibles (santé, opinions politiques, biométrie…) ni de condamnations pénales
→ En pratique, 9 organismes sur 10 ne remplissent pas ces 3 conditions simultanément. Détails et cas concrets dans Registre des traitements pour TPE de moins de 250 salariés.
Que doit contenir le registre ? Les 9 mentions obligatoires Art. 30
Pour chaque traitement, le registre doit indiquer :
| # | Mention obligatoire (Art. 30.1) |
|---|---|
| 1 | Nom et coordonnées du responsable de traitement (+ DPO si désigné) |
| 2 | Finalités du traitement |
| 3 | Catégories de personnes concernées (clients, salariés…) |
| 4 | Catégories de données collectées |
| 5 | Catégories de destinataires (internes, sous-traitants) |
| 6 | Transferts hors UE et garanties associées |
| 7 | Durées de conservation (active + archivage) |
| 8 | Mesures de sécurité techniques et organisationnelles |
| 9 | Base légale (article 6 RGPD) |
Ces 9 mentions doivent figurer pour chaque traitement listé. Structurer manuellement un registre conforme prend généralement plusieurs heures par traitement.
Automatisez votre registre avec un audit RGPD
Notre audit RGPD à 490 € scanne votre site et identifie automatiquement vos traitements (cookies, formulaires, sous-traitants, transferts hors UE). Le rapport livré contient un registre des traitements pré-rempli, conforme à l'article 30, que vous n'avez plus qu'à valider.
Voir un exemple de rapport.
Pour aller plus loin
| Question | Article dédié |
|---|---|
| Comment je le remplis concrètement ? | Méthode en 6 étapes |
| Je suis une TPE, suis-je vraiment concerné ? | Cas TPE < 250 salariés |
| Je tiens un e-commerce, quels traitements lister ? | E-commerce Shopify / WooCommerce |
| Je tiens un restaurant, quels traitements ? | Restaurant |
| Quelles erreurs éviter ? | 5 erreurs courantes |
| Que risque-t-on sans registre ? | Sanctions CNIL |
Notre audit RGPD du site web scanne votre site (cookies, trackers, formulaires, pages légales), génère un rapport personnalisé (à partir de 20 à 30 pages, selon la complexité de votre activité), et inclut 4 modèles RGPD prêts à publier + le Kit Conformité Interne complet (registre + contrat Art. 28 + procédure violation 72 h + 13 templates emails droits RGPD).
490 € TTC, livré sous 24 h ouvrées, sans abonnement.