Le registre des traitements est le document central de votre conformité RGPD. Pourtant, selon une étude Data Legal Drive (2025), 61 % des PME françaises n'en disposent pas ou le considèrent comme incomplet. Ce guide détaille pas à pas comment le créer, le remplir et le maintenir.
L'article 30 du RGPD : ce qu'il exige
« Chaque responsable du traitement [...] tient un registre des activités de traitement effectuées sous sa responsabilité. Ce registre comporte toutes les informations suivantes [...] »
Règlement (UE) 2016/679 (RGPD), Article 30, paragraphe 1
Qui est concerné ?
L'obligation de tenir un registre s'applique à :
- Toute entreprise de plus de 250 salariés
- Toute entreprise de moins de 250 salariés si le traitement n'est pas occasionnel, porte sur des données sensibles (article 9), ou concerne des données relatives à des condamnations pénales (article 10)
En pratique, toute PME est concernée. Dès que vous traitez des données clients de manière régulière (CRM, newsletters, facturation), le traitement n'est pas "occasionnel" et le registre est obligatoire. La CNIL l'a confirmé dans ses recommandations de 2024.
Les 12 mentions obligatoires
L'article 30 du RGPD énumère les informations que doit contenir le registre pour chaque traitement :
| # | Information | Exemple concret (PME e-commerce) |
|---|---|---|
| 1 | Nom et coordonnées du responsable de traitement | SAS MonShop, 12 rue de la Paix, 75002 Paris |
| 2 | Finalités du traitement | Gestion des commandes et livraisons |
| 3 | Catégories de personnes concernées | Clients, prospects, visiteurs du site |
| 4 | Catégories de données traitées | Nom, email, adresse, historique commandes, IP |
| 5 | Catégories de destinataires | Brevo (emails), Mollie (paiements), Colissimo |
| 6 | Transferts hors UE (pays, garanties) | Aucun (prestataires UE) / USA via SCC |
| 7 | Délais de conservation | 3 ans après dernier achat, 5 ans comptabilité |
| 8 | Mesures de sécurité techniques | Chiffrement TLS, pseudonymisation, backups |
| 9 | Base légale du traitement | Exécution du contrat (article 6.1.b) |
| 10 | DPO (si désigné) | dpo@monshop.fr ou "Non désigné" |
| 11 | Responsable conjoint (si applicable) | N/A ou partenaire marketplace |
| 12 | Description générale des mesures de sécurité (art. 32) | Politique d'accès, formation équipes, audit annuel |
Les traitements à ne pas oublier
Les PME oublient souvent de recenser certains traitements. Voici les plus fréquemment omis :
- Gestion des cookies et trackers : Google Analytics, Meta Pixel, Hotjar collectent des données personnelles (IP, comportement) et constituent un traitement à part entière
- Vidéosurveillance : si vos locaux sont équipés de caméras, c'est un traitement de données biométriques potentielles
- Gestion RH interne : paie, congés, évaluations annuelles, médecine du travail
- Newsletter et prospection : même avec consentement, c'est un traitement à documenter
- Chatbot IA : les conversations stockées constituent un traitement de données personnelles
- Sous-traitants techniques : hébergeur, CDN, service email transactionnel, outil de déploiement
Le scan COCORRIDOR identifie automatiquement les services tiers présents sur votre site qui constituent des traitements à documenter dans votre registre.
Erreurs fréquentes dans les registres PME
1. Finalités trop vagues
Écrire "gestion de la relation client" ne suffit pas. Détaillez : "envoi de devis personnalisés", "suivi des commandes en cours", "relance des paniers abandonnés". Chaque finalité distincte doit constituer une ligne séparée dans le registre.
2. Durées de conservation absentes ou indéfinies
La mention "durée nécessaire" n'est pas acceptable. Vous devez spécifier des durées précises, justifiées par une obligation légale (6 ans pour les pièces comptables, article L.123-22 du Code de commerce) ou une nécessité opérationnelle documentée.
3. Sous-traitants non listés
Chaque prestataire ayant accès aux données personnelles doit figurer dans le registre avec son pays d'hébergement et le mécanisme de transfert utilisé. Les audits CNIL relèvent systématiquement l'absence de sous-traitants dans les registres des PME.
4. Registre figé depuis sa création
Un registre créé en 2018 et jamais mis à jour ne vaut rien. Chaque nouveau prestataire, chaque évolution de traitement doit être reflétée. La CNIL recommande une revue trimestrielle minimum.
Modèle de registre simplifié
Voici la structure recommandée par la CNIL pour un registre de PME :
| Champ | Traitement 1 : Commandes | Traitement 2 : Newsletter |
|---|---|---|
| Responsable | SAS MonShop | SAS MonShop |
| Finalité | Exécution et suivi des commandes | Prospection commerciale par email |
| Base légale | Exécution du contrat (6.1.b) | Consentement (6.1.a) |
| Personnes concernées | Clients acheteurs | Inscrits à la newsletter |
| Données collectées | Nom, email, adresse, téléphone | Email, prénom |
| Destinataires | Brevo (email), Mollie (paiement) | Brevo (routage email) |
| Transfert hors UE | Non | Non |
| Conservation | 3 ans après dernier achat | Jusqu'au désabonnement |
| Sécurité | Chiffrement TLS, accès restreint | Chiffrement TLS, double opt-in |
Outils pour créer votre registre
- Legal Builder COCORRIDOR : génère automatiquement un registre des traitements à partir de vos données d'entreprise et des résultats de scan. Intègre les déclarations AI Act.
- Modèle CNIL : tableur Excel gratuit disponible sur cnil.fr. Complet mais entièrement manuel.
- DPO interne ou externalisé : un DPO peut superviser la création et la mise à jour. Les experts COCORRIDOR proposent un accompagnement DPO externalisé.
Foire aux questions
Faut-il publier le registre des traitements ?
Non. Le registre n'est pas public. Cependant, il doit être mis à disposition de la CNIL sur demande (article 30§4). En cas de contrôle, la CNIL peut demander le registre dans un délai de 72 heures. Ne pas pouvoir le présenter constitue une infraction.
Mon entreprise fait moins de 250 salariés. Suis-je vraiment concernée ?
Oui, dans 99 % des cas. L'exemption de l'article 30§5 ne s'applique qu'aux traitements "occasionnels". Dès lors que vous gérez un fichier clients, une newsletter, des cookies analytics, ou des données salariés de manière régulière, le registre est obligatoire. La CNIL considère qu'un traitement récurrent (même mensuel) n'est pas occasionnel.
Quelle est la sanction en cas d'absence de registre ?
L'article 83§4 du RGPD prévoit une amende pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial. En pratique, la CNIL sanctionne d'abord par une mise en demeure avec délai de mise en conformité (généralement 3 à 6 mois). L'amende intervient en cas de non-correction.
Dois-je inclure les traitements sous-traités dans mon registre ?
Oui, mais dans un registre séparé. L'article 30§2 impose au sous-traitant de tenir son propre registre. En tant que responsable de traitement, vous devez lister vos sous-traitants dans votre registre (champ "destinataires"), avec leurs coordonnées et la nature du traitement confié.