Registre des traitements RGPD : obligations, structure et modèle 2026
L'article 30 du RGPD impose à la quasi-totalité des organisations de tenir un registre des activités de traitement. C'est le document central de votre conformité RGPD : il cartographie tous les traitements de données personnelles, justifie leur base légale et permet de démontrer votre conformité en cas de contrôle CNIL. Pourtant, la CNIL constate régulièrement que les registres sont incomplets, obsolètes ou inexistants.
Qui est obligé de tenir un registre ?
En principe, le registre est obligatoire pour tous les responsables de traitement et sous-traitants, sauf exception très limitée :
- Organisations de moins de 250 salariés : exemptées de l'obligation générale sauf si leurs traitements sont susceptibles de comporter des risques pour les droits et libertés, ne sont pas occasionnels, ou portent sur des données sensibles ou relatives à des condamnations pénales.
- En pratique : cette exception est très étroite — toute organisation avec des traitements RH, une base clients ou des cookies de traçage est soumise à l'obligation.
Recommandation CNIL : tenir un registre complet quel que soit la taille, car l'exemption est difficile à faire valoir et le registre est de toute façon un outil de pilotage indispensable.
Ce que doit contenir le registre (art. 30 RGPD)
Côté responsable de traitement
Pour chaque traitement, le registre doit mentionner :
- Nom et coordonnées du responsable et, le cas échéant, du DPO et du représentant UE.
- Finalités du traitement : pourquoi les données sont collectées (ex: "gestion des ressources humaines — paie et congés").
- Catégories de personnes concernées : employés, clients, prospects, fournisseurs, visiteurs.
- Catégories de données : état civil, données financières, données de santé, données biométriques, etc.
- Destinataires : internes (services) et externes (partenaires, sous-traitants, autorités).
- Transferts hors UE : pays de destination et garanties (SCCs, décision d'adéquation, BCRs).
- Durées de conservation : délais de conservation en base active et en archivage intermédiaire.
- Mesures de sécurité : description générale des mesures techniques et organisationnelles.
- Base légale : consentement, contrat, obligation légale, intérêt légitime, mission d'intérêt public.
Côté sous-traitant
Les sous-traitants tiennent un registre distinct listant les catégories de traitements effectués pour chaque responsable de traitement, avec les transferts hors UE et les mesures de sécurité.
Structure recommandée : les 3 registres en 1
La CNIL recommande de structurer le registre en 3 volets :
- Registre RT (Responsable de Traitement) : tous les traitements en tant que RT (RH, clients, marketing, vidéosurveillance, etc.).
- Registre ST (Sous-Traitant) : traitements réalisés pour le compte de clients ou partenaires.
- Registre des violations de données : journalisation de toutes les violations détectées (même si non notifiées), avec description, gravité et mesures prises.
Inventaire type pour une PME de 50 à 200 salariés
Traitements typiques à recenser dans le registre d'une PME :
- RH : gestion des salariés (paie, congés, formation, évaluations), recrutement, accès physique et logique.
- Clients : gestion des contrats, facturation, service client, historique de commandes.
- Prospection commerciale : base de prospects, campagnes email, CRM, tracking web.
- Fournisseurs : gestion des contrats et contacts fournisseurs.
- Sécurité : vidéosurveillance, logs d'accès, SIEM, gestion des incidents.
- Site web : analytics, cookies, formulaires de contact, newsletter.
- Comptabilité : gestion des données financières et fiscales.
- Santé au travail : données médicales, déclarations AT, inaptitudes (traitement sensible).
Les erreurs les plus fréquentes dans les registres
- Durées de conservation vagues : "aussi longtemps que nécessaire" n'est pas acceptable — indiquer une durée précise (ex: "3 ans après la fin du contrat client").
- Bases légales mal choisies : l'intérêt légitime utilisé pour la prospection commerciale directe nécessite en réalité un opt-in ou opt-out selon le canal.
- Sous-traitants oubliés : chaque outil cloud (CRM, RH, messagerie, analytics) est un sous-traitant qui doit figurer dans le registre et avoir signé un DPA (Data Processing Agreement).
- Registre non mis à jour : tout nouveau traitement ou modification substantielle doit être ajouté sans délai. Le registre doit être "vivant".
- Mesures de sécurité non décrites : une case vide ou un renvoi générique ("mesures de sécurité appropriées") ne suffit pas.
Outils pour tenir votre registre
- Modèle Excel CNIL : disponible gratuitement sur le site de la CNIL, point de départ idéal pour les PME.
- Logiciels DPO : OneTrust, Didomi, DASTRA, Privasee — solutions SaaS avec workflows de mise à jour et génération automatique de rapports.
- Notion / Confluence : pour les organisations ayant une culture documentation, un template partagé peut suffire si structuré correctement.
Le registre comme outil de pilotage
Au-delà de l'obligation réglementaire, le registre est un outil précieux pour :
- Identifier les traitements nécessitant une AIPD (Analyse d'Impact relative à la Protection des Données).
- Piloter les contrats avec les sous-traitants (DPA à signer, audit de conformité).
- Répondre rapidement aux demandes d'exercice des droits (savoir où sont les données d'une personne).
- Préparer un contrôle CNIL en 24 heures (le registre est le premier document demandé).
Articles recommandés
Certification HDS : guide complet 2026
Hébergement de données de santé : 6 activités, articulation ISO 27001, RGPD et NIS2, processus et coûts.
Lire l'articleIAMIAM pour PME : SSO, MFA, PAM, IGA
Structurer un programme IAM conforme NIS2 et ISO 27001 : identités humaines et machines, recertification.
Lire l'articleMicrosoft 365Sécurité Microsoft 365 : guide complet 2026
MFA, Conditional Access, Defender, Purview, DLP, sauvegardes tierces et Secure Score pour PME et ETI.
Lire l'articleBesoin d'accompagnement ?
Nos experts vous accompagnent dans votre mise en conformité NIS2 et RGPD.
Demander un diagnostic gratuit