Guide pratique
Le registre des
traitements, expliqué.
C'est le document le plus souvent demandé en cas de contrôle CNIL — et le plus souvent mal tenu. Ce qu'il est, qui doit en avoir un, et ce qu'il doit contenir.
Qu'est-ce que le registre des traitements ?
C'est l'inventaire de toutes les activités de votre organisation qui impliquent des données personnelles : gestion de la paie, CRM clients, vidéosurveillance, candidatures RH, newsletter... Chaque « traitement » est une fiche, et l'ensemble des fiches forme le registre (article 30 du RGPD).
Ce n'est pas transmis à la CNIL par défaut — c'est un document interne, que vous devez pouvoir présenter en cas de contrôle. Beaucoup d'organisations le découvrent seulement à ce moment-là, ce qui n'est jamais la meilleure situation.
En pratique, presque toutes les organisations.
Le RGPD prévoit une exemption pour les structures de moins de 250 salariés — mais elle est plus étroite qu'il n'y paraît. Elle ne s'applique pas si le traitement :
- ✓ n'est pas occasionnel (ex. gestion de la paie, CRM — l'immense majorité des cas) ;
- ✓ porte sur des données sensibles (santé, origine, opinions) ou judiciaires ;
- ✓ présente un risque pour les droits et libertés des personnes concernées.
Résultat : dans la pratique, dès qu'une structure a des salariés, des clients ou des adhérents suivis dans la durée, elle tient quasi certainement un registre. L'exemption « moins de 250 salariés » concerne surtout des cas très ponctuels.
Ce que chaque fiche doit contenir.
Sept informations reviennent pour chaque traitement recensé.
Finalité
Pourquoi ce traitement existe (ex. « gestion de la paie »).
Données & personnes
Quelles données, sur quelles catégories de personnes (salariés, clients...).
Destinataires
Qui a accès aux données, en interne et chez vos sous-traitants.
Durée de conservation
Combien de temps les données sont gardées avant suppression ou archivage.
Mesures de sécurité
Chiffrement, contrôle d'accès, sauvegardes — même à haut niveau.
Transferts hors UE
Si des données quittent l'UE (ex. outil américain), la garantie utilisée.
Base légale
Contrat, obligation légale, intérêt légitime, consentement...
Responsable
Qui, dans l'organisation, porte ce traitement au quotidien.
Une fiche, en pratique.
| Finalité | Gestion des candidatures |
| Données | Nom, coordonnées, CV, lettre de motivation |
| Personnes | Candidats à un poste |
| Base légale | Mesures précontractuelles |
| Destinataires | Équipe RH, logiciel de recrutement (sous-traitant) |
| Conservation | 2 ans après le dernier contact, si non retenu |
| Sécurité | Accès restreint, mot de passe, sauvegarde chiffrée |
Exemple simplifié à visée pédagogique — votre registre réel doit refléter vos traitements exacts.
D'autres guides RGPD & IA Act.
Droits des personnes
Répondre en 30 jours
AIPD
Analyse d'impact, en 4 étapes
Violation de données
Que faire en 72h
Sous-traitant RGPD
Le contrat article 28
Cookies & RGPD
Bandeau de consentement conforme
Transferts hors UE
Clauses contractuelles types
Contrôle CNIL
Se préparer et réagir
Amendes RGPD
Montants et comment les éviter
Formation RGPD
Former ses salariés
IA Act pour PME
Obligations concrètes
RGPD pour startup
Par où commencer
DPO mutualisé
Le temps partagé
DPO cabinet médical
Santé & secret médical
DPO e-commerce
Cookies, paiement, remarketing
DPO cabinet d'avocats
Secret professionnel & RGPD
Pas envie de le construire fiche par fiche ?
VIGIL génère votre registre à partir de vos réponses, avec un juriste de magistère disponible pour le relire.
Faire le point avec nousContenu à visée informative, à jour au moment de sa rédaction. Il ne constitue pas un conseil juridique personnalisé au sens de la loi n°71-1130 du 31 décembre 1971 — chaque situation mérite une analyse dédiée.