« Je suis tout seul, je n'ai que 10 clients, je n'ai pas besoin de registre. » C'est le mythe le plus répandu chez les TPE et auto-entrepreneurs. Et c'est faux.
La dispense Art. 30.5 RGPD existe, mais elle est très restrictive
L'article 30.5 du RGPD prévoit qu'une organisation de moins de 250 salariés peut être dispensée de tenir un registre. Mais cette dispense ne s'applique que si TOUS les critères ci-dessous sont remplis simultanément :
| Critère | Détail |
|---|---|
| Effectif | Moins de 250 salariés |
| Pas de risque | Les traitements ne sont pas susceptibles de comporter un risque pour les droits et libertés des personnes |
| Traitements occasionnels | Pas des traitements réguliers / habituels |
| Pas de données sensibles | Pas d'article 9 RGPD (santé, opinions politiques, biométrie, vie sexuelle, syndicale…) |
| Pas de condamnations pénales | Pas d'article 10 RGPD |
Les 4 derniers critères sont cumulatifs. Si un seul n'est pas rempli, la dispense saute.
En pratique, 9 TPE sur 10 ne sont PAS dispensées
Examinez votre activité :
❌ Vous avez un fichier client ?
Traitement régulier (vous le mettez à jour à chaque commande). Dispense KO.
❌ Vous avez une newsletter ?
Traitement régulier. Dispense KO.
❌ Vous avez des employés ?
Données salariés = traitement régulier. Dispense KO.
❌ Vous traitez des candidatures ?
Régulier dès lors que vous recrutez ne serait-ce qu'une fois. Dispense KO.
❌ Vous avez de la vidéosurveillance ?
Données potentiellement sensibles (image). Dispense KO.
❌ Vous êtes professionnel de santé / coach bien-être / kiné / psy ?
Données de santé (article 9). Dispense totalement KO.
→ Si vous cochez UNE seule de ces situations : vous devez tenir un registre.
Les cas réels où la dispense s'applique vraiment
Concrètement, la dispense ne s'applique presque jamais. Voici les rares cas légitimes :
- Vous gérez une association loi 1901 sans salarié, sans listing membres, qui se réunit ponctuellement pour des événements sans collecter de données autres que des présences au jour J.
- Vous êtes artiste auto-entrepreneur sans site web, sans newsletter, sans fichier client (vous vendez vos œuvres en galerie, l'acheteur reste anonyme pour vous).
- Vous êtes un artisan local sans site web, sans CRM, qui prend ses commandes par téléphone et ne conserve les coordonnées que le temps du chantier.
Vous voyez : c'est très limité. Dès que vous avez un site web, une newsletter, un fichier client ou des salariés, le registre devient obligatoire.
Que se passe-t-il si vous ne tenez pas de registre ?
L'absence de registre est sanctionnable au titre de l'article 83.4 RGPD : jusqu'à 10 M€ ou 2 % du chiffre d'affaires mondial (le plus élevé). En pratique pour une TPE, la sanction se situe entre 2 000 et 50 000 € + une mise en demeure publique sur cnil.fr.
Détail des sanctions : Sanctions CNIL en cas d'absence de registre.
La bonne nouvelle : c'est faisable pour une TPE
Pour une TPE typique (1 à 10 personnes, 5 à 10 traitements), structurer le registre prend quelques heures avec une bonne méthode.
Voir la méthode pas-à-pas : Comment remplir un registre en 6 étapes.
Vous préférez l'automatiser ? Notre audit RGPD à 490 € scanne votre site et génère le registre pré-rempli à partir de votre stack technique.
Questions fréquentes
Je suis auto-entrepreneur sans salarié, j'ai un site avec un formulaire de contact. Dois-je tenir un registre ?
Oui. Au minimum 3 traitements à inscrire : formulaire de contact, facturation client, hébergement du site. La dispense de l'article 30.5 ne s'applique pas dès lors que vous avez des traitements réguliers (un formulaire en ligne est régulier).
J'ai 8 salariés et un fichier client de 200 personnes. Suis-je obligé ?
Oui. Au moins 8-12 traitements à lister : RH, paie, candidatures, fichier client, prospection, formulaire site, newsletter, cookies, vidéosurveillance si applicable. La dispense ne s'applique pas.
Je suis kiné, psychologue ou coach santé en libéral. Dois-je tenir un registre ?
Oui, et un DPO est même recommandé voire obligatoire (article 37). Les données de santé sont des données sensibles (article 9 RGPD) — aucune dispense ne s'applique. Vous êtes parmi les organismes les plus contrôlés par la CNIL.
Je suis une association loi 1901 avec 3 bénévoles. Suis-je dispensé ?
Cela dépend. Si vous tenez un fichier adhérents : registre obligatoire. Si vous organisez juste 2 événements par an sans liste de présence conservée : la dispense peut s'appliquer. Dans le doute, tenez un registre simple (1 heure suffit).
Étape suivante : prenez 1 h cette semaine
- Lisez le guide complet sur le registre des traitements
- Suivez la méthode en 6 étapes
- Vérifiez les 5 erreurs courantes à éviter
- Ou automatisez avec notre audit RGPD à 490 €
Notre audit RGPD du site web scanne votre site (cookies, trackers, formulaires, pages légales), génère un rapport personnalisé (à partir de 20 à 30 pages, selon la complexité de votre activité), et inclut 4 modèles RGPD prêts à publier + le Kit Conformité Interne complet (registre + contrat Art. 28 + procédure violation 72 h + 13 templates emails droits RGPD).
490 € TTC, livré sous 24 h ouvrées, sans abonnement.