Registre des activités de traitement RGPD : obligations, contenu et conseils d’expert

Le registre des activités de traitements, appelé communément « registre des traitements » permet de documenter les activités impliquant des données personnelles, comme l’exige le RGPD.

‍

Il sert à recenser : 

‍

• Les finalités
• Les bases légales
• Les durées de conservation
• Les destinataires
• Les mesures de sécurité

‍

Chaque domaine d’activité est concerné : assurance, santé, collectivités, média, industrie, e-commerce…
Le registre facilite la gestion des risques et l’organisation des actions à mener.

‍
Des outils comme Adequacy permettent une gestion collaborative et auditée, grâce à son module Registre. Nous le qualifions de pierre angulaire de la gestion de la conformité. Il devient un appui structurant pour piloter la conformité au quotidien.

‍

‍

Qu’est-ce qu’un registre des traitements selon le RGPD ?

‍

‍

Le registre des traitements, prévu par l'article 30 du RGPD, est un document qui recense et analyse l'ensemble des traitements de données personnelles effectués au sein d'une organisation.

Il permet d'avoir une vue d'ensemble sur les données traitées, les finalités poursuivies, les catégories de personnes concernées, les destinataires des données, les transferts éventuels vers des pays tiers, les délais de conservation, ainsi que les mesures de sécurité mises en place.

‍

Ce registre est obligatoire pour les responsables de traitement et les sous-traitants, sauf exceptions prévues pour les entreprises de moins de 250 salariés, sous certaines conditions.

‍

Il constitue un outil de pilotage de la conformité au RGPD, permettant d'identifier et de hiérarchiser les risques liés aux traitements de données personnelles.

‍

‍

Pourquoi est-il obligatoire ? (article 30 du RGPD)

‍

‍

Le registre des traitements est imposé par l'article 30 du RGPD. Il remplace l'ancienne obligation de déclaration préalable auprès des autorités.

‍

Ce registre de traitement doit être tenu à jour et présenté à l'autorité de contrôle sur demande. Il s'applique à tous les responsables de traitement et sous-traitants, sauf exceptions spécifiques pour les petites structures. Ainsi, il constitue un outil de pilotage de la conformité au RGPD.

‍

‍

Qui est concerné par cette obligation ?

‍

‍

L'obligation de tenir un registre des traitements concerne toutes les organisations, quelle que soit leur taille, qui traitent des données personnelles.

‍

Cependant, une dérogation existe pour les entreprises de moins de 250 salariés. Cette exemption ne s'applique pas si les traitements effectués ne sont pas occasionnels, s'ils portent sur des données sensibles ou s'ils présentent un risque pour les droits et libertés des personnes concernées.

‍

Ainsi, même les petites structures doivent évaluer leurs activités de traitement pour déterminer si elles sont tenues de tenir un registre, conformément à l'article 30 du RGPD.

‍

‍

Que doit contenir un registre des traitements ?

‍

‍

Les informations obligatoires à renseigner

Le Responsable de Traitement (RT) détermine les finalités et les moyens du traitement. Le registre tenu par un responsable de traitement doit inclure :

‍

• Nom et coordonnées du RT, de ses éventuels co-responsables, du représentant (hors UE) et du DPO (le cas échéant)‍
• Finalités du traitement
• Catégories de personnes concernées et catégories de données personnelles
• Catégories de destinataires (y compris les transferts hors UE)‍
• Transferts de données vers un pays tiers ou une organisation internationale + garanties appropriées‍
• Délais prévus pour l’effacement des différentes catégories de données‍
• Description générale des mesures de sécurité techniques et organisationnelles (article 32 RGPD)

Le registre doit être écrit, mis à jour régulièrement et présenté à la CNIL sur demande. C’est un outil clé pour piloter la conformité RGPD.

Le Sous-Traitant (ST) agit pour le compte du RT et tient un registre allégé contenant les traitements réalisés pour chaque RT : les transferts hors UE, et les mesures de sécurité. Un organisme peut être à la fois RT et ST selon les cas d’usage (ex. paie interne et prestations pour un client).

‍

Le registre tenu par un sous-traitant doit inclure :

‍

• ‍Nom et coordonnées du sous-traitant, de chaque responsable de traitement pour lequel il agit, et du DPO (le cas échéant)‍
• Catégories de traitements effectués pour le compte de chaque responsable‍
• Transferts de données vers un pays tiers ou une organisation internationale (le cas échéant), avec les garanties appropriées‍
• Description générale des mesures de sécurité techniques et organisationnelles (article 32 RGPD)
  

‍

Ce registre permet de démontrer la conformité et de répondre aux demandes des responsables de traitement pour le compte des organisations pour lesquelles le sous-traitant agit ou la CNIL.

‍

Modèle de registre proposé par la CNIL

La CNIL propose un modèle simplifié au format tableur.

‍

Il comporte des colonnes telles que : nom du traitement, finalité, base légale, catégories de personnes concernées, types de données, destinataires, transferts, durée de conservation, mesures de sécurité.

‍

‍

Comment créer et tenir à jour son registre des traitements ?

‍

‍

Étapes de création : cartographie, documentation, mise à jour

Pour créer un registre conforme, commencez par cartographier tous les traitements de données.

‍

Pour chaque traitement cartographié précédemment, identifiez les finalités, les catégories de données, les durées de conservation, les bases légales, les mesures de sécurité et les destinataires.

‍

Documentez ensuite chaque traitement selon un modèle clair, comme celui proposé par la CNIL. En ce sens Adequacy a créé un module spécifique pour le registre, adapté aux enjeux d’entreprises privées, d’organismes publics ou d’associations, en respectant l’ensemble des attendus de la CNIL.

‍

N’oubliez pas de mettre à jour régulièrement le registre en cas d’évolution (nouveau traitement, modification d’un contrat, etc.).

‍

Outils et logiciels pour faciliter la gestion du registre de traitement

Les fichiers Excel sont vite limités : erreurs fréquentes, absence de collaboration, manque de traçabilité.

‍
Des outils comme Adequacy permettent une gestion collaborative grâce à des alertes automatiques, un suivi des modifications et une interface claire. Le registre devient ainsi plus fiable, plus sécurisé, et accessible à tous les acteurs concernés.

‍

Il existe donc des solutions pour limiter le travail parfois pénible de formaliser un registre de traitement.

‍

Quelle est la bonne granularité de découpage d’un registre de traitements ?

Il s’agit ici probablement de la question la plus épineuse de la constitution d’un registre.

‍

D’expérience, pour une entreprise moyenne de 500 salariés, un domaine fonctionnel transverse (RH, finance, communication…) est découpé en une dizaine d’activités.

‍
La constitution d’une fiche de traitement dans le registre, recense les catégories de données telles que le bulletin de salaire, les coordonnées de l’employé, la carrière, etc.

‍

La cohérence d’une activité est souvent réalisée par les « objets » regroupant les données personnelles manipulées, comme le bulletin de salaire, les coordonnées de l’employé, la carrière etc...

Pour plus d’informations.

‍

Afin d’approfondir le sujet, découvrez en une vidéo très claire les 2 règles d’or à appliquer pour une granularité adéquate de votre registre.

‍

‍

Exemples de registres des traitements par domaine

‍

‍

Registre des traitements en ressources humaines (RH)

On retrouve la gestion du personnel (paie, absences), le recrutement, les entretiens, les formations.

‍

Ces traitements manipulent des données sensibles (NIR, santé, opinions syndicales). La base légale est souvent contractuelle ou légale.

‍

Le registre doit mentionner les prestataires (SIRH, cabinets externes) et les durées de conservation.

‍

Registre des traitements dans le secteur de la santé

Les établissements de santé gèrent les dossiers médicaux, les rendez-vous, le tiers payant, la téléconsultation et parfois un entrepôt de données.

‍

Les données traitées sont hautement sensibles (état de santé, traitements). L’hébergement doit être certifié HDS. La base légale est généralement l’intérêt public.

‍

Le registre doit intégrer les flux, les acteurs impliqués et les analyses d’impact nécessaires.

‍

Registre des traitements pour les collectivités locales

Les collectivités locales traitent des données dans les domaines de l’état civil, de la sécurité urbaine, des inscriptions scolaires ou des aides sociales. Ces traitements sont fondés sur des obligations légales ou de l’intérêt public.

‍

Le registre doit documenter les accès (agents municipaux, prestataires), les durées de conservation et les mesures de sécurité comme la vidéosurveillance.

‍

‍

Les sanctions liées au défaut de registre

‍

‍

Selon l’article 30 du RGPD, tout responsable de traitement — y compris les structures de moins de250 salariés dans certains cas — doit tenir un registre des activités de traitement. L’absence de registre constitue une violation formelle du règlement, même en l’absence de fuite de données.

Ce manquement peut entraîner une sanction administrative pouvant aller jusqu’à 2% du chiffre d’affaires annuel mondial ou 10 millions d’euros, selon le montant le plus élevé (article 83.4.a). La CNIL considère le registre comme un outil fondamental de pilotage de la conformité, son absence traduit un défaut de gouvernance.

‍

Exemples concrets de motifs retenus

• Absence totale de registre des activités de traitement
• Registre incomplet ou obsolète, ne reflétant pas les traitements réels
• Registre non tenu à disposition de l’autorité lors d’un contrôle
• Absence de mention de la base légale, des finalités ou des destinataires
• Registre non conforme aux exigences de l’article 30.1 ou 30.2 du RGPD (selon que l’on est responsable ou sous-traitant)

‍

Montants des amendes constatées (indicatifs)

Exemples de sanctions pour défaut de registre

Exemples de sanctions pour défaut de registre

France – CNIL : Collectivité locale (2022)

• Motif : Registre des traitements inexistant + base légale absente
• Sanction : 30 000 € d’amende
• Circonstances aggravantes : Données sensibles traitées (santé, social), aucun DPO désigné

‍

Espagne – AEPD : Grande entreprise du secteur de l’éducation privée (2021)

• Motif : Le registre ne mentionnait ni les bases légales, ni les durées de conservation
• Sanction : 40 000 € d’amende
• Commentaire : L’autorité a considéré que l’imprécision du registre révélait une gestion RGPD non maîtrisée

‍

Italie – Garante : Institution publique régionale (2020)

• Motif : Pas de registre, ni de documentation sur les finalités des traitements
• Sanction : 75 000 € d’amende
• Aggravant : Non-coopération avec l'autorité lors de l’audit

‍

Allemagne – BfDI : Entreprise du secteur technologique (2019)

• Motif : Registre incomplet, traitements de masse non recensés (tracking, publicité)
• Sanction : 60 000 € d’amende
• Spécificité : L’autorité allemande a mis l’accent sur l’obligation de transparence

‍

‍

FAQ

‍

‍

• ‍Qu’est-ce qu’un registre des activités de traitements ?

Le registre est une liste détaillée de toutes les activités utilisant des données personnelles dans une organisation. C’est une obligation prévue à l’article 30 du RGPD. 

‍

• ‍Pourquoi est-il obligatoire ?

Ne pas tenir de registre de traitement peut entraîner des sanctions RGPD lourdes, même sans fuite de données. Les autorités de contrôle, telles que la CNIL en France, sont susceptibles de venir contrôler les organisations afin de s’assurer qu’il existe bien un registre tenu et mis à jour. De plus, le RGPD impose de documenter toutes les activités de traitement pour prouver la conformité à tout moment.

‍

• ‍Qui est concerné par cette obligation ?

La tenue d’un registre est une obligation à partir de 250 salariés. Toutefois, si une organisation de moins de 250 salariés traite des données sensibles, à grande échelle, ou liées à des obligations légales, cette organisation devra tenir à son tour un registre des activités de traitement.

‍

• ‍Que doit contenir un registre des traitements ?

Il doit indiquer la finalité, la base légale, les catégories de données, les destinataires, la durée de conservation et les mesures de sécurité. Le contenu attendu pour le registre en tant que responsable de traitement est prévu à l’article 30.1 du RGPD, celui du sous-traitant par l’article 30.2.

‍

• ‍Peut-on externaliser la gestion du registre ?

Le registre est généralement tenu par le DPO (délégué à la protection des données), il peut être interne ou externe à l’organisation. Quoi qu’il en soit, le responsable de traitement reste légalement responsable devant la CNIL.

‍

• ‍Quelle est la fréquence de mise à jour recommandée ?

Le registre doit être tenu à jour au minimum une fois par an. Dès qu’une information évolue sur une fiche de traitement, celle-ci devra être mise à jour dans les meilleurs délais. 

‍

• ‍Faut-il faire un registre spécifique pour les RH ?

Au sein de toutes organisations, la gestion des ressources humaines est une thématique prioritaire. Elle concerne l’ensemble des salariés et implique des données sensibles (date de naissance, situation personnelle, coordonnées bancaires, données de santé…). Toutefois, chaque service doit tenir un registre répertoriant l’ensemble des activités de traitement, dès lors qu’il traite de données personnelles (collecte, utilise, conserve, communique…).

‍

• ‍Le registre est-il utile au pilotage stratégique ?

Oui, le registre est la pierre angulaire de la mise en place d’une culture interne de protection des données. Il permet de prioriser les actions stratégiques, anticiper les risques et structurer la gouvernance de la conformité au RGPD.

‍

• ‍Quelle est la déclinaison en anglais du registre des activités de traitements ?

En anglais, le terme utilisé est ROPA, Register of Processing Activities.