Le registre des traitements RGPD est le document central de votre conformité. La CNIL peut le demander à tout moment lors d’un contrôle. Son absence est un manquement sanctionnable — et sa présence, votre meilleure protection.
Ce guide sur le registre des traitements RGPD s’adresse aux TPE, PME, créateurs d’entreprises, indépendants, associations souhaitant se mettre en conformité sans y passer des journées entières.
1. Qu’est-ce que le registre des traitements RGPD ?
L’article 30 du Règlement Général sur la Protection des Données (RGPD) impose à toute organisation traitant des données personnelles de tenir un registre documentant l’ensemble de ses activités de traitement.
Un traitement de données, c’est toute opération portant sur des données personnelles : collecte, enregistrement, stockage, consultation, modification, transmission, suppression. Dès que vous gérez une fiche client, un fichier RH ou un formulaire de contact, vous effectuez des traitements.
Le registre est le document qui prouve que vous connaissez vos traitements, que vous les avez organisés, et que vous respectez les principes du RGPD.
2. Qui est obligé de tenir un registre ?
En théorie, l’article 30 prévoit une exemption pour les organisations de moins de 250 salariés. En pratique, cette exemption ne s’applique presque jamais, car elle suppose que vous ne traitiez pas de données de manière régulière, que vos traitements ne présentent aucun risque pour les droits des personnes, et que vous ne traitiez pas de données sensibles.
Or, dès que vous avez des clients, des salariés ou un site web avec formulaire, vous traitez des données de manière régulière. La CNIL elle-même recommande à toutes les structures, quelle que soit leur taille, de tenir un registre.
À retenir : si vous avez des clients, des salariés, ou un site web — vous êtes concerné.
3. Ce que doit contenir le registre : les 8 informations obligatoires
Pour chaque activité de traitement, le registre doit documenter :
| Information | Exemple concret |
| Le nom et les coordonnées du responsable du traitement | Votre nom + nom de l’entreprise + adresse |
| La finalité du traitement | Gestion de la relation client, facturation, recrutement… |
| Les catégories de personnes concernées | Clients, prospects, salariés, fournisseurs… |
| Les catégories de données traitées | Nom, email, téléphone, IBAN, données de santé… |
| Les destinataires des données | Comptable, hébergeur, prestataire CRM… |
| Les transferts hors UE éventuels | Hébergeur américain, logiciel SaaS étranger… |
| Les durées de conservation | Données clients : 3 ans après dernier contact… |
| Les mesures de sécurité | Chiffrement, accès restreint, sauvegarde quotidienne… |
4. Les traitements courants d’une TPE ou PME
La plupart des petites entreprises ont entre 6 et 10 activités de traitement à documenter. Voici les plus courantes :
- Gestion de la relation client : devis, contrats, historique des achats, service après-vente.
- Facturation et obligations comptables : données de paiement, factures, archivage légal.
- Gestion des fournisseurs : coordonnées des contacts, contrats, conditions tarifaires.
- Prospection commerciale : emails de prospects, campagnes, relances.
- Gestion du personnel : fiches salariés, bulletins de paie, congés, absences.
- Gestion du recrutement : CV, lettres de motivation, notes d’entretien.
- Site internet et formulaires : formulaires de contact, cookies, analytics.
- Sécurité informatique : journaux d’accès, gestion des habilitations.
5. Guide étape par étape : comment remplir votre registre des traitements RGPD
Remplir un registre des traitements RGPD nécessite une méthode claire et structurée.
Étape 1 — Listez vos activités de traitement
Commencez par identifier tous les endroits où vous collectez ou utilisez des données personnelles : votre logiciel CRM, votre outil de facturation, votre messagerie, votre site web, vos fichiers RH, vos feuilles Excel…
Étape 2 — Pour chaque activité, renseignez les 8 informations obligatoires
Prenez les informations listées dans le tableau ci-dessus. Pour les durées de conservation, la CNIL publie des recommandations détaillées sur le registre des traitements : https://www.cnil.fr/fr/le-registre-des-activites-de-traitement
Étape 3 — Identifiez vos sous-traitants
Pour chaque traitement, identifiez si vous faites appel à un prestataire externe qui accède aux données (hébergeur, CRM SaaS, outil de paie…). Ces prestataires sont vos sous-traitants RGPD. Vous devez conclure avec eux un accord de traitement de données (DPA).
Étape 4 — Vérifiez vos bases légales
Chaque traitement doit s’appuyer sur une base légale : consentement, contrat, obligation légale, intérêt légitime, mission d’intérêt public, ou protection des intérêts vitaux. La base légale la plus courante pour les clients est l’exécution du contrat ; pour les salariés, l’obligation légale.
Étape 5 — Mettez à jour régulièrement
Le registre n’est pas un document statique. Chaque fois que vous lancez un nouvel outil ou une nouvelle activité impliquant des données, vous devez l’y ajouter. La CNIL recommande une revue annuelle.
Créez votre registre des traitements complet en 30 minutes avec RegistrePro RGPD : Démarrer maintenant — 149 EUR HT
6. Format du registre : papier, Excel ou outil dédié ?
Le RGPD n’impose pas de format spécifique. Vous pouvez tenir votre registre sur papier, dans un fichier Excel ou via un outil en ligne.
En pratique, un registre papier est difficile à mettre à jour et à présenter lors d’un contrôle. Un fichier Excel non structuré risque d’oublier des champs obligatoires. Un outil dédié comme RegistrePro RGPD génère automatiquement un document PDF professionnel, structuré selon les exigences de l’article 30, prêt à être présenté à la CNIL.
7. Quelles erreurs éviter ?
- Laisser le registre vide ou partiellement rempli : un registre incomplet n’offre aucune protection.
- Ne pas mettre à jour quand vous changez d’outil ou de prestataire.
- Oublier les traitements RH : les données salariés sont souvent les plus sensibles.
- Confondre durée de conservation et durée d’archivage légal : les données peuvent être archivées avec accès restreint au-delà de la durée de conservation active.
- Ne pas documenter les transferts hors UE : si votre hébergeur est américain, c’est un transfert à mentionner.
8. Ce que vous risquez sans registre des traitements RGPD
Lors d’un contrôle CNIL — qui peut survenir suite à une plainte d’un client, un signalement ou une initiative de la CNIL — l’absence de registre des traitements constitue un manquement direct à vos obligations. La CNIL peut prononcer une mise en demeure, assortie d’un délai pour vous mettre en conformité. En cas de non-respect, une amende peut suivre.
Au-delà de la sanction financière, c’est votre réputation auprès de vos clients et partenaires qui est en jeu. La CNIL publie les décisions de sanction sur son site.
9. FAQ
Peut-on utiliser le modèle de la CNIL ?
La CNIL met à disposition un modèle de base en format tableur (ODS). Ce modèle est un point de départ, mais il est générique et ne couvre pas les spécificités de votre activité. Vous devrez le compléter et le mettre en forme de façon professionnelle.
Le registre doit-il être signé ?
Non, aucune signature n’est requise par le RGPD. Il doit simplement exister, être complet et à jour.
Faut-il envoyer le registre à la CNIL ?
Non. Vous n’avez pas à le transmettre spontanément. Vous devez simplement être en mesure de le produire sur demande lors d’un contrôle.
Article structuré selon les exigences de l’Article 30 du RGPD. Sources : CNIL