Registre des activités de traitement RGPD
Obligatoire Art. 30
Qui est concerné, 10 colonnes obligatoires, comment le tenir à jour et outils gratuits. Le guide complet pour créer votre registre des traitements conforme.
Qui est concerné par l'obligation ?
Toutes les organisations (règle générale)
Le registre des traitements est obligatoire pour toutes les organisations qui traitent des données personnelles, quelle que soit leur taille — associations, PME, grandes entreprises, administrations.
Exception <250 salariés — mais 3 conditions
Les organisations de moins de 250 salariés peuvent bénéficier d'une exception partielle, sauf si : les traitements présentent un risque pour les droits des personnes, les traitements ne sont pas occasionnels, ou les traitements portent sur des données sensibles ou des condamnations pénales.
Sous-traitants — obligation propre
Les sous-traitants (Art. 30§2) doivent tenir leur propre registre de toutes les catégories de traitements effectués pour le compte de responsables de traitement, avec les mêmes exigences.
Les 10 colonnes obligatoires
Chaque traitement doit être documenté avec ces 10 informations minimum. Un registre partiel expose à une mise en demeure CNIL.
Nom et coordonnées du responsable
Nom légal, adresse, email et téléphone du responsable de traitement (RT). Si DPO désigné, ses coordonnées aussi.
Coordonnées du DPO (si désigné)
Si vous avez un DPO (interne ou externalisé), ses coordonnées de contact doivent figurer dans le registre.
Finalités du traitement
Pour chaque traitement : l'objectif poursuivi (gestion des clients, envoi de newsletters, facturation, analytics...).
Catégories de personnes concernées
Clients, prospects, salariés, fournisseurs, visiteurs du site web — toutes les catégories de personnes dont vous traitez des données.
Catégories de données
État civil, coordonnées, données financières, données de navigation, données de santé (si applicables)...
Destinataires des données
Sous-traitants, partenaires, filiales, prestataires SaaS (hébergeur, CRM, outil emailing) qui accèdent aux données.
Transferts vers pays tiers
Si des données sont transférées hors UE : le pays de destination et les garanties mises en place (SCT, BCR, adéquation).
Délais de conservation prévus
Durée de conservation de chaque catégorie de données ou critères permettant de la déterminer.
Mesures de sécurité techniques
Chiffrement, contrôle d'accès, sauvegarde, pseudonymisation... Les mesures de sécurité organisationnelles et techniques.
Base légale du traitement
Consentement (Art. 6§1a), contrat (6§1b), obligation légale (6§1c), intérêt légitime (6§1f)... pour chaque traitement.
Comment le tenir à jour ?
Désigner un responsable
Nommer une personne (ou équipe) chargée de tenir le registre à jour — idéalement le DPO ou un référent RGPD.
Recenser les traitements
Identifier tous les traitements de données : RH, commercial, marketing, comptabilité, informatique, site web...
Documenter chaque traitement
Pour chaque traitement, renseigner les 10 colonnes obligatoires. Utiliser un tableur ou un outil RGPD dédié.
Réviser annuellement
Planifier une révision annuelle complète du registre pour vérifier l'exactitude des informations.
Mettre à jour à chaque nouveau traitement
Tout nouveau traitement doit être ajouté au registre avant son démarrage. Ne pas attendre la révision annuelle.
Outils pour votre registre
CNIL Outil PIA (gratuit)
GratuitL'outil officiel de la CNIL permet de créer et gérer votre registre des traitements gratuitement. Inclut aussi les analyses d'impact (DPIA).
Excel / Google Sheets
GratuitUn tableur structuré suffit pour la plupart des PME. La CNIL propose des modèles téléchargeables gratuits adaptés selon la taille de l'organisation.
Logiciels RGPD dédiés
PayantDes solutions comme OneTrust, DPO Software, Witik ou Privacyboard proposent des modules de registre avancés avec gestion des sous-traitants et alertes.
5 erreurs à éviter
Registre créé une fois, jamais mis à jour
Mettre à jour à chaque nouveau traitement ou changement de prestataire
Oublier les sous-traitants dans le registre
Documenter tous les sous-traitants accédant aux données (hébergeur, CRM, outil RH...)
Durées de conservation non renseignées
Préciser une durée ou des critères pour chaque traitement — c'est une obligation
Confondre registre RT et registre sous-traitant
Les deux registres sont différents et chacun a ses obligations propres (Art. 30§1 vs 30§2)
Ne pas intégrer les nouvelles applications SaaS
Tout nouvel outil utilisant des données personnelles doit être ajouté immédiatement
FAQ — Registre des traitements
Les questions les plus posées sur le registre des activités de traitement RGPD.
Vérifiez votre conformité RGPD
Scannez votre site gratuitement pour identifier les manquements RGPD prioritaires : cookies, pages légales, mentions obligatoires et risques CNIL.
Scanner mon site gratuitement →Résultat immédiat · Sans inscription · 100% gratuit