1. Qu'est-ce que le registre des activités de traitement RGPD ?
Le registre des activités de traitement (parfois appelé "registre RGPD" ou "RAT") est un document central imposé par le Règlement Général sur la Protection des Données (RGPD). Il recense l'ensemble des opérations par lesquelles une organisation collecte, utilise, conserve ou partage des données personnelles — qu'il s'agisse de fichiers clients, de données RH, de logs web ou de vidéosurveillance.
Ce registre est l'outil concret de la responsabilité (accountability) exigée par l'article 5 §2 du RGPD : chaque responsable de traitement doit non seulement respecter les principes de protection des données, mais aussi être en mesure de le démontrer à tout moment, notamment lors d'un contrôle de la CNIL.
2. Qui est obligé de tenir un registre ?
L'article 30 du RGPD impose en principe la tenue d'un registre aux organisations de 250 personnes et plus. Mais le même article prévoit explicitement que les organisations de taille inférieure sont également concernées dès lors qu'elles remplissent l'une des conditions suivantes :
- Les traitements effectués sont susceptibles de comporter un risque pour les droits et libertés des personnes concernées
- Les traitements ne sont pas occasionnels — c'est-à-dire réguliers ou permanents
- Les traitements portent sur des catégories particulières de données (art. 9 RGPD : santé, origine ethnique, opinions politiques, données biométriques, etc.) ou sur des données relatives à des condamnations pénales
En pratique, l'exception pour les structures de moins de 250 personnes est très rarement applicable. Toute TPE ou PME qui dispose d'une base clients, emploie du personnel ou utilise des cookies de suivi est tenue de maintenir un registre. La CNIL confirme cette interprétation dans ses lignes directrices.
3. Les mentions obligatoires du registre (Art. 30 §1)
Chaque fiche de traitement dans le registre doit comporter au minimum les informations suivantes :
Nom et coordonnées du responsable de traitement
Dénomination sociale, adresse, et coordonnées du délégué à la protection des données (DPO) s'il a été désigné. En cas de co-responsabilité (art. 26 RGPD), toutes les parties doivent être mentionnées.
Finalités du traitement
L'objectif concret poursuivi : par exemple "gestion de la relation client", "traitement des candidatures RH" ou "envoi de la newsletter mensuelle". Des libellés vagues comme "objectifs commerciaux" ou "amélioration du service" ne sont pas conformes — la CNIL exige des finalités déterminées, explicites et légitimes.
Catégories de personnes concernées et de données
Quelles populations sont visées (clients, salariés, prospects, fournisseurs, visiteurs du site) ? Quelles catégories de données sont traitées (nom, adresse, e-mail, données bancaires, adresse IP, données de santé) ?
Catégories de destinataires
À qui les données sont-elles transmises ? Cela inclut les services internes (comptabilité, RH, direction commerciale), les sous-traitants (hébergeur, prestataire de paie, agence marketing), ainsi que les autorités publiques le cas échéant. Une désignation par catégorie est admise lorsque les destinataires exacts ne sont pas encore connus.
Transferts vers des pays tiers
Si des données sont transférées hors de l'UE/EEE (vers des serveurs américains, par exemple), le registre doit mentionner le pays destinataire et les garanties applicables : décision d'adéquation, clauses contractuelles types (CCT), règles d'entreprise contraignantes (BCR).
Délais de conservation
Pendant combien de temps les données sont-elles conservées avant d'être supprimées ou archivées ? Le registre doit indiquer des durées précises ou, à défaut, les critères permettant de les déterminer. L'absence de politique de conservation est l'un des premiers points relevés lors des contrôles CNIL.
Mesures de sécurité (TOMs)
L'article 32 RGPD impose des mesures techniques et organisationnelles appropriées. Le registre doit en donner une description générale : chiffrement, contrôle des accès, pseudonymisation, sauvegardes régulières, formations des équipes, gestion des habilitations.
4. Exemples de traitements types pour une PME
Un registre RGPD complet pour une PME française comprend généralement les fiches suivantes :
| Traitement | Personnes concernées | Données traitées | Base légale |
|---|---|---|---|
| Gestion clients / CRM | Clients, prospects | Nom, e-mail, historique d'achat | Art. 6 §1 b) — exécution du contrat |
| Gestion RH / paie | Salariés, candidats | Données sociales, salaire, arrêts maladie | Art. 6 §1 b) + obligation légale |
| Comptabilité / facturation | Clients, fournisseurs | Coordonnées, IBAN, montants | Art. 6 §1 c) — obligation légale |
| Marketing / newsletter | Abonnés | Nom, e-mail, comportement de clic | Art. 6 §1 a) — consentement |
| Vidéosurveillance | Visiteurs, employés | Images, horaires de présence | Art. 6 §1 f) — intérêt légitime |
| Cookies / analytics web | Visiteurs du site | Adresse IP, pages visitées, durée | Art. 6 §1 a) — consentement |
5. Les erreurs fréquentes
Les contrôles de la CNIL et les audits menés par des DPO révèlent les mêmes lacunes récurrentes :
- Finalités trop vagues : "gestion marketing" ou "amélioration de l'expérience utilisateur" ne sont pas des finalités au sens du RGPD. Chaque traitement doit avoir un objectif précis et documenté.
- Base légale absente ou incorrecte : invoquer le "consentement" pour la gestion de la paie des salariés, ou l'"intérêt légitime" pour des données de santé — ce sont des erreurs classiques.
- TOMs non documentées : écrire "mesures de sécurité adéquates" sans détailler lesquelles est insuffisant. La CNIL s'attend à des mesures concrètes et vérifiables.
- Absence de politique de conservation : conserver des données "jusqu'à ce qu'elles ne soient plus utiles" n'est pas une durée de conservation au sens du RGPD.
- Sous-traitants oubliés : hébergeur cloud, prestataire de paie, outil d'emailing — tous doivent figurer dans le registre et faire l'objet d'un DPA (Data Processing Agreement).
- Registre figé : un registre créé une fois et jamais mis à jour depuis deux ans est aussi problématique qu'un registre absent.
6. Mise à jour du registre : fréquence et déclencheurs
Le RGPD n'impose pas de fréquence fixe de révision, mais exige que le registre soit toujours à jour. En pratique, les événements suivants doivent déclencher une mise à jour :
- Adoption d'un nouvel outil logiciel (CRM, ERP, outil marketing, application RH)
- Changement de sous-traitant (changement d'hébergeur, nouveau prestataire de paie)
- Lancement d'un nouveau traitement ou modification substantielle d'un traitement existant
- Violation de données personnelles (art. 33 RGPD) — l'incident doit conduire à revoir les fiches concernées
- Révision annuelle systématique — au minimum une fois par an, vérifier que chaque fiche correspond encore à la réalité opérationnelle
7. Contrôles CNIL : qu'est-ce qu'ils vérifient ?
La CNIL dispose de plusieurs modes de contrôle : sur place, sur pièces, en ligne et sur audition. Lors d'un contrôle, les inspecteurs s'intéressent notamment à :
- L'existence et l'exhaustivité du registre des activités de traitement
- La cohérence entre le registre et les traitements effectivement mis en œuvre
- La présence de bases légales valides pour chaque traitement
- Les durées de conservation et la mise en oeuvre effective de la suppression des données
- Les contrats de sous-traitance (DPA) signés avec les prestataires
- La gestion des demandes d'exercice de droits (accès, rectification, effacement, portabilité)
- Les procédures de notification en cas de violation de données
Un registre structuré, à jour et accessible immédiatement constitue un signal fort de maturité RGPD et peut significativement réduire le risque de sanction en cas de contrôle.
8. Sanctions (jusqu'à 10 M€ ou 2 % du CA mondial)
L'absence de registre ou un registre manifestement insuffisant expose l'organisation aux sanctions prévues par l'article 83 §4 du RGPD :
En France, la CNIL a prononcé des sanctions significatives pour défaut de documentation : plusieurs centaines de milliers d'euros pour des PME, et plusieurs millions pour des entreprises de taille intermédiaire. La tendance est à la hausse depuis 2023. Les petites structures reçoivent généralement d'abord une mise en demeure avec délai de mise en conformité — mais en cas de récidive ou de manquement grave, les sanctions financières suivent.
9. Modèle de registre : structure recommandée
La CNIL recommande de structurer le registre sous forme de tableau, avec une ligne par traitement. Voici les colonnes indispensables :
- Référence / ID — identifiant unique de la fiche
- Intitulé du traitement — nom clair et précis
- Finalité(s) — objectif(s) concrets du traitement
- Base légale — article 6 §1 a/b/c/d/e/f (ou art. 9 pour données sensibles)
- Catégories de personnes concernées
- Catégories de données traitées
- Destinataires internes (services concernés)
- Destinataires externes / sous-traitants
- Transfert hors UE (Oui/Non + garantie applicable)
- Durée de conservation
- Mesures de sécurité (TOMs)
- AIPD requise ? (analyse d'impact — art. 35 RGPD)
- Date de dernière mise à jour
10. DPO externe vs DPO interne : qui remplit le registre ?
Le registre est placé sous la responsabilité du responsable de traitement — c'est-à-dire la direction de l'organisation. Le DPO (délégué à la protection des données), qu'il soit interne ou externe, conseille et accompagne, mais n'est pas l'auteur juridique du registre.
| Critère | DPO interne | DPO externe (prestataire) |
|---|---|---|
| Coût | Salaire chargé | Forfait mensuel (souvent moins cher) |
| Disponibilité | Disponible immédiatement | Selon contrat (SLA) |
| Connaissance métier | Forte (contexte interne) | À construire |
| Indépendance | Risque de conflit d'intérêts | Meilleure indépendance |
| Mise à jour du registre | Peut déléguer aux métiers | Assure le suivi et les relances |
| Idéal pour | Grandes structures, secteurs réglementés | TPE/PME, startups |
Quelle que soit la configuration choisie, l'outil utilisé pour maintenir le registre doit permettre un accès rapide en cas de contrôle et tracer l'historique des modifications. Un tableur partagé peut suffire pour une très petite structure, mais une solution dédiée apporte des garanties supplémentaires : validation des champs obligatoires, générateur de TOMs, alertes sur les durées de conservation, et export conforme.
Créez votre registre RGPD en 15 minutes
RODO Rejestr par SaaSLab vous guide à travers tous les champs obligatoires de l'article 30 — registre, politique de conservation, mesures de sécurité. Pas de tableur, pas de devinettes.
Essai gratuit →