Guide pratique

Le registre des
traitements, expliqué.

C'est le document le plus souvent demandé en cas de contrôle CNIL — et le plus souvent mal tenu. Ce qu'il est, qui doit en avoir un, et ce qu'il doit contenir.

La base

Qu'est-ce que le registre des traitements ?

C'est l'inventaire de toutes les activités de votre organisation qui impliquent des données personnelles : gestion de la paie, CRM clients, vidéosurveillance, candidatures RH, newsletter... Chaque « traitement » est une fiche, et l'ensemble des fiches forme le registre (article 30 du RGPD).

Ce n'est pas transmis à la CNIL par défaut — c'est un document interne, que vous devez pouvoir présenter en cas de contrôle. Beaucoup d'organisations le découvrent seulement à ce moment-là, ce qui n'est jamais la meilleure situation.

Qui doit en tenir un ?

En pratique, presque toutes les organisations.

Le RGPD prévoit une exemption pour les structures de moins de 250 salariés — mais elle est plus étroite qu'il n'y paraît. Elle ne s'applique pas si le traitement :

  • n'est pas occasionnel (ex. gestion de la paie, CRM — l'immense majorité des cas) ;
  • porte sur des données sensibles (santé, origine, opinions) ou judiciaires ;
  • présente un risque pour les droits et libertés des personnes concernées.

Résultat : dans la pratique, dès qu'une structure a des salariés, des clients ou des adhérents suivis dans la durée, elle tient quasi certainement un registre. L'exemption « moins de 250 salariés » concerne surtout des cas très ponctuels.

Le contenu

Ce que chaque fiche doit contenir.

Sept informations reviennent pour chaque traitement recensé.

Finalité

Pourquoi ce traitement existe (ex. « gestion de la paie »).

Données & personnes

Quelles données, sur quelles catégories de personnes (salariés, clients...).

Destinataires

Qui a accès aux données, en interne et chez vos sous-traitants.

Durée de conservation

Combien de temps les données sont gardées avant suppression ou archivage.

Mesures de sécurité

Chiffrement, contrôle d'accès, sauvegardes — même à haut niveau.

Transferts hors UE

Si des données quittent l'UE (ex. outil américain), la garantie utilisée.

Base légale

Contrat, obligation légale, intérêt légitime, consentement...

Responsable

Qui, dans l'organisation, porte ce traitement au quotidien.

Exemple concret

Une fiche, en pratique.

FinalitéGestion des candidatures
DonnéesNom, coordonnées, CV, lettre de motivation
PersonnesCandidats à un poste
Base légaleMesures précontractuelles
DestinatairesÉquipe RH, logiciel de recrutement (sous-traitant)
Conservation2 ans après le dernier contact, si non retenu
SécuritéAccès restreint, mot de passe, sauvegarde chiffrée

Exemple simplifié à visée pédagogique — votre registre réel doit refléter vos traitements exacts.

Pas envie de le construire fiche par fiche ?

VIGIL génère votre registre à partir de vos réponses, avec un juriste de magistère disponible pour le relire.

Faire le point avec nous

Contenu à visée informative, à jour au moment de sa rédaction. Il ne constitue pas un conseil juridique personnalisé au sens de la loi n°71-1130 du 31 décembre 1971 — chaque situation mérite une analyse dédiée.