Décryptage complet de l’article 30 du RGPD
Chaque responsable du traitement et, le cas échéant, son représentant tiennent un registre des activités de traitement effectuées sous leur responsabilité. Ce registre comprend :
- Le nom et les coordonnées du responsable, des responsables conjoints, du représentant et du délégué à la protection des données.
- Les finalités du traitement.
- Une description des catégories de personnes concernées et des données à caractère personnel.
- Les destinataires des données, y compris les transferts vers pays tiers ou organisations internationales.
- Le cas échéant, les détails des transferts, les pays ou organisations concernés et les garanties appropriées (art. 49 §1, al. 2).
- Dans la mesure du possible, les délais d’effacement prévus.
- Dans la mesure du possible, une description générale des mesures de sécurité (art. 32 §1).
Chaque sous-traitant et, le cas échéant, son représentant tiennent un registre de toutes les catégories d’activités de traitement effectuées pour le compte d’un responsable, incluant :
- Le nom et les coordonnées des sous-traitants, responsables pour lesquels ils agissent, représentants et DPO.
- Les catégories de traitements effectués pour chaque responsable du traitement.
- Le cas échéant, les transferts de données vers pays tiers ou organisations internationales, avec détails et garanties (art. 49 §1, al. 2).
- Dans la mesure du possible, une description générale des mesures de sécurité mises en œuvre (art. 32 §1).
Les registres doivent être tenus sous forme écrite, y compris électronique. Ils sont mis à disposition de l’autorité de contrôle sur demande.
Les obligations de registre ne s’appliquent pas aux entreprises ou organismes de moins de 250 employés, sauf si :
- Le traitement présente un risque pour les droits et libertés des personnes concernées ;
- Le traitement n’est pas occasionnel ;
- Il porte sur des catégories particulières de données (art. 9 §1) ou des données pénales (art. 10).
🔍 Êtes-vous concerné par l’obligation de tenir un registre RGPD ?
Pourquoi le registre RGPD est bien plus qu’une formalité
Le fameux Article 30 du RGPD, ce n’est pas juste une obligation administrative. C’est en réalité, le coeur opérationnel de votre conformité.
Ce registre des traitements, c’est lui qui :
- prouve que vous savez ce que vous faites de vos données,
- rassure les autorités (CNIL incluse),
- vous protège en cas de contrôle.
Et pourtant, 80 % des entreprises n’ont pas de registre à jour… ou pas de registre du tout.
C’est un risque légal, financier et réputationnel.
👉 Alors comment bien le tenir ? Que faut-il y inclure ? Peut-on le déléguer ?
On vous guide pas à pas, sans jargon, avec exemples, pièges à éviter et modèle inclus.
C’est quoi exactement ce registre RGPD ?
Concrètement, le registre des traitements est une cartographie écrite, structurée et documentée de toutes les activités où vous traitez des données personnelles.
C’est en quelque sorte le mode d’emploi interne de votre gestion des données, exigé par l’article 30 du RGPD.
Autrement dit, vous devez consigner noir sur blanc :
- Qui collecte les données ? (responsable, sous-traitant, DPO)
- Pourquoi vous les collectez ? (finalité : gestion RH, prospection…)
- Comment vous les utilisez et stockez ? (base légale, outil utilisé…)
- Combien de temps vous les conservez ? (durées de conservation)
- À qui vous les transmettez ? (prestataires, partenaires, filiales…)
- Et surtout, comment vous les sécurisez ? (accès, chiffrement, traçabilité…)
🎯 Ce registre est obligatoire :
- pour les responsables de traitement (vous décidez des objectifs et moyens)
- pour les sous-traitants (vous traitez les données pour un tiers)
💡 Moins de 250 salariés ? Vous n’êtes pas automatiquement exempté !
En effet, si vous traitez des données dites “sensibles” (santé, infractions, opinions, etc.), ou si vos traitements ne sont pas occasionnels, le registre reste obligatoire. C’est souvent le cas dans la pratique.
Que doit obligatoirement contenir votre registre RGPD ?
Votre registre RGPD doit lister clairement chaque traitement de données personnelles, avec des informations précises, standardisées et à jour.
Pour les responsables de traitement :
1. Coordonnées du responsable et DPO
Commencez par indiquer le nom, l’adresse et le contact email du responsable de traitement, ainsi que, le cas échéant, ceux du DPO ou du représentant.
2. Finalités des traitements
Ensuite, précisez pourquoi vous collectez les données : gestion RH, CRM, facturation, analyse marketing, etc.
3. Catégories de personnes concernées
Identifiez clairement les personnes visées : clients, salariés, prospects, candidats, partenaires…
4. Types de données collectées
Par exemple : nom, email, coordonnées bancaires, données de santé, adresse IP.
5. Destinataires des données
Puis, listez les tiers auxquels les données sont transmises : prestataires, partenaires, filiales, hébergeurs, services cloud…
6. Transferts hors UE
Indiquez les pays concernés (ex : USA) et précisez le cadre juridique utilisé (clauses contractuelles types, BCR, etc.).
7. Durée de conservation des données
Exemple : 3 ans après le dernier contact, 5 ans après la fin du contrat…
8. Mesures de sécurité mises en œuvre
Enfin, détaillez les protections mises en place : chiffrement, anonymisation, contrôle des accès, audits internes…
Pour les sous-traitants :
- Coordonnées des clients et du sous-traitant
- Catégories d’activités réalisées pour chaque client
- Transferts éventuels hors UE
- Mesures de sécurité techniques et organisationnelles
🎯 L’idée : être capable, à tout moment, de prouver que chaque traitement est maîtrisé et sécurisé.
Les erreurs les plus fréquentes à éviter
Pourtant, même avec les meilleures intentions, de nombreuses entreprises tombent dans les mêmes pièges. Voici les 5 erreurs courantes à éviter absolument :
❌ Réutiliser un modèle générique sans adaptation
En réalité, un registre trouvé sur internet ne peut pas refléter vos traitements spécifiques. Il doit être personnalisé à votre activité, vos outils, vos finalités.
❌ Oublier certains traitements “évidents”
Les traitements RH, les campagnes marketing, les cookies ou encore les formulaires de contact sont souvent négligés… alors qu’ils sont parmi les plus surveillés.
❌ Omettre les transferts de données hors UE
En effet, si vous utilisez des outils comme Google Analytics, Mailchimp, HubSpot ou Slack, vos données sortent potentiellement de l’UE. Il faut les mentionner et encadrer ces flux.
❌ Sous-estimer ou ignorer la durée de conservation
Laisser “illimité” ou “non défini” dans la colonne durée = alerte CNIL. Chaque donnée doit avoir une durée de vie justifiée.
❌ Ne pas mettre à jour le registre
En d’autres termes, un registre figé est un registre obsolète. Changement d’outil, de process ou de prestataire ? Il faut répercuter les modifications sans attendre.
🧠 Conseil : Mettez en place une revue trimestrielle ou semestrielle de votre registre, comme vous le feriez pour un budget ou un process interne.
Exemple de registre RGPD rempli
FAQ – Les questions fréquentes
Comment structurer un registre RGPD dans une organisation multi-structures ?
Chaque entité doit avoir son propre registre, mais une gouvernance centralisée peut en assurer la cohérence.
Pensez à une arborescence par site, service ou BU, avec une nomenclature homogène et des règles de saisie partagées. Cela permet une supervision groupe tout en laissant l’agilité locale.
Comment repérer les traitements de données non déclarés ?
Pour repérer les traitements non déclarés, commencez par utiliser des audits croisés : outils utilisés par les équipes, logs réseau, analyse des cookies.
En effet, les outils SaaS non référencés (Shadow IT) ou les automatisations internes passent souvent sous le radar du registre.
C’est pourquoi il est utile de compléter cette analyse par un inventaire des outils et un questionnaire terrain afin de combler les angles morts.
Peut-on évaluer les risques à partir du registre RGPD ?
Oui, en ajoutant une grille de criticité par traitement.
Attribuez un niveau de risque selon le type de données, le volume, la sensibilité, ou la nature du traitement (profilage, transfert hors UE…). Cela prépare ou remplace un PIA pour les cas simples.
Comment automatiser la mise à jour du registre RGPD ?
Pour automatiser la mise à jour du registre RGPD, commencez par intégrer la conformité dans vos processus internes : achats, recrutement, projets IT.
Ensuite, ajoutez systématiquement un point de vérification RGPD à chaque étape clé du workflow, afin d’identifier les nouveaux traitements dès leur apparition.
Enfin, appuyez-vous sur des outils comme Notion, Jira ou Monday.com, qui facilitent cette intégration de manière fluide et durable.
