Retour aux actualitésRGPD PME

    Registre des traitements RGPD pour les PME : comment le créer et le tenir à jour

    12 min de lecture

    Le registre des activités de traitement est le document RGPD le plus concret et le plus contrôlé par la CNIL. Toute entreprise traitant des données personnelles doit le tenir (sauf exception marginale). Pourtant, c'est aussi l'un des documents les plus souvent absents ou incomplets lors des contrôles. Ce guide vous explique comment créer votre registre de A à Z.

    Qui doit tenir un registre des traitements ?

    L'article 30 du RGPD impose la tenue d'un registre à tous les responsables de traitement et sous-traitants, sauf si l'entreprise emploie moins de 250 personnes ET que le traitement est occasionnel ET ne porte pas sur des données sensibles ou des données susceptibles d'engendrer un risque pour les droits des personnes. En pratique, cette exception est rarissime : dès que vous traitez des données RH, clients, prospects, ou que votre traitement est régulier (une fois par semaine suffit), vous devez tenir un registre quelle que soit la taille de votre entreprise.

    La CNIL recommande d'ailleurs à toutes les entreprises de tenir un registre, même si elles pensent être exemptées. En cas de contrôle, l'absence de registre est systématiquement relevée comme manquement.

    La structure du registre : les mentions obligatoires (article 30.1)

    Chaque traitement doit faire l'objet d'une fiche distincte dans le registre. Voici les informations obligatoires pour chaque fiche :

    Informations de base sur le traitement

    • Nom du traitement : "Gestion de la paie", "CRM clients", "Vidéosurveillance des locaux", etc.
    • Finalité(s) du traitement : L'objectif précis poursuivi. Exemple : "Gestion administrative du personnel et respect des obligations légales en matière de paie".
    • Base légale : L'une des 6 bases légales du RGPD (consentement, contrat, obligation légale, intérêt vital, mission d'intérêt public, intérêt légitime). La base légale justifie votre droit de traiter.

    Responsabilités et acteurs

    • Responsable de traitement : Nom et coordonnées de votre entreprise (ou de votre représentant légal).
    • DPO (si désigné) : Coordonnées du Délégué à la Protection des Données.
    • Co-responsables (si applicable) : Si un autre organisme co-détermine les finalités avec vous.
    • Sous-traitants : Liste de tous les prestataires qui accèdent aux données (éditeurs SaaS, hébergeurs, comptables, etc.) avec leurs coordonnées et le pays d'hébergement des données.

    Données et personnes concernées

    • Catégories de personnes concernées : Employés, clients, prospects, visiteurs, fournisseurs, mineurs...
    • Catégories de données traitées : Identité, coordonnées, données financières, données de santé, données biométriques... Les données sensibles (art. 9) doivent être explicitement identifiées.
    • Durées de conservation : Pour chaque catégorie de données, la durée de conservation en base active, puis en archive intermédiaire, puis destruction ou anonymisation. Ces durées doivent être justifiées (obligations légales, délais de prescription, etc.).

    Sécurité et transferts

    • Mesures de sécurité : Description synthétique des mesures techniques et organisationnelles (chiffrement, contrôle d'accès, pseudonymisation, sauvegardes...).
    • Transferts hors UE : Si des données sont transférées vers des pays tiers (États-Unis, Inde...), le mécanisme de transfert utilisé (clauses contractuelles types, décision d'adéquation, BCR...).

    Exemple de registre pour une PME de 30 salariés

    Voici les traitements types qu'une PME industrielle de 30 salariés devrait recenser dans son registre :

    • Gestion du personnel : Recrutement, paie, gestion des congés, évaluations. Base légale : obligation légale (Code du travail) + contrat. Sous-traitants : logiciel de paie (Sage, Cegid, Silae), expert-comptable, mutuelle.
    • Gestion des clients : Devis, contrats, facturation, CRM. Base légale : exécution du contrat + intérêt légitime (prospection clients existants). Sous-traitants : CRM (Salesforce, HubSpot), ERP, comptabilité.
    • Prospection commerciale : E-mails marketing, LinkedIn. Base légale : consentement (B2C) ou intérêt légitime (B2B). Sous-traitants : outil d'emailing (Mailchimp, Brevo).
    • Vidéosurveillance : Caméras de sécurité des locaux. Base légale : intérêt légitime. Durée de conservation : 30 jours maximum. Information obligatoire des salariés.
    • Gestion des accès informatiques : Comptes utilisateurs, logs de connexion. Base légale : obligation légale (sécurité SI) + intérêt légitime.
    • Gestion des fournisseurs : Contacts, commandes, factures. Base légale : exécution du contrat.
    • Site web et cookies : Analytics, formulaires de contact. Base légale : consentement (cookies) + intérêt légitime (formulaire).

    Comment tenir le registre à jour : organisation pratique

    Choisir le format du registre

    Le RGPD n'impose pas de format spécifique. En pratique, les PME utilisent :

    • Tableur Excel/Google Sheets : Simple, gratuit, suffisant pour la plupart des PME. La CNIL met à disposition un modèle Excel téléchargeable.
    • Outil PIA CNIL : L'outil officiel permet aussi de gérer le registre et les AIPD.
    • Logiciels DPO (OneTrust, DPMANAGER, Privacyboard...) : Pour les entreprises avec de nombreux traitements ou un volume important de données. Coût de 2 000 à 15 000 €/an.

    Désigner un responsable de la mise à jour

    Le registre n'est utile que s'il est à jour. Désignez une personne responsable (DPO, DAF, responsable IT ou RSSI) et mettez en place un processus pour mettre à jour le registre à chaque nouveau traitement, modification substantielle d'un traitement existant, changement de sous-traitant, ou modification des durées de conservation.

    Révision annuelle

    Planifiez une revue annuelle du registre pour vérifier que tous les traitements sont toujours d'actualité, que les durées de conservation sont respectées en pratique, et que la liste des sous-traitants est complète.

    Les 7 erreurs les plus fréquentes des PME

    • Oublier les sous-traitants : Les outils SaaS (Microsoft 365, Salesforce, Mailchimp) sont des sous-traitants au sens RGPD. Beaucoup de PME oublient de les lister.
    • Ne pas distinguer les finalités : Regrouper "gestion client + marketing + analytics" dans un seul traitement est une erreur. Chaque finalité distincte = une fiche distincte.
    • Bases légales mal choisies : Mettre "consentement" comme base légale pour la paie des salariés (c'est une obligation légale) ou pour les achats (c'est un contrat).
    • Durées de conservation vides ou fantaisistes : "Durée indéterminée" ou "aussi longtemps que nécessaire" n'est pas acceptable. Chaque traitement doit avoir une durée précise et justifiée.
    • Oublier les transferts hors UE : Si vous utilisez Google Analytics, AWS, Salesforce... vos données peuvent être traitées aux États-Unis. Ces transferts doivent être documentés avec le mécanisme juridique approprié.
    • Registre non communiqué à la CNIL en cas de contrôle : Le registre doit être communicable immédiatement à la CNIL sur demande. Il ne doit pas être stocké sur un serveur inaccessible.
    • Confondre registre et politique de confidentialité : Le registre est un document interne. La politique de confidentialité est le document public destiné aux personnes concernées. Ce sont deux documents distincts.

    Durées de conservation : le tableau de référence

    Voici les durées légales ou recommandées pour les traitements les plus courants :

    • Données RH (bulletins de paie, contrats) : 5 ans après la fin du contrat de travail (délai de prescription prud'homale)
    • Données clients (factures) : 10 ans (obligation comptable) en archive
    • Données prospects (CRM) : 3 ans maximum après le dernier contact actif
    • Logs de connexion informatique : 1 an (recommandation CNIL)
    • Vidéosurveillance : 30 jours maximum (sauf enquête en cours)
    • Candidatures non retenues : 2 ans maximum
    • Données de santé (médecine du travail) : 50 ans (obligations spécifiques)
    • Cookies et traceurs : 13 mois maximum pour le consentement

    Accompagnement RGPD pour PME

    CyberConform vous accompagne dans la création et la mise à jour de votre registre des traitements RGPD : audit des traitements existants, cartographie des sous-traitants, détermination des durées de conservation et formation de vos équipes. Diagnostic gratuit sous 48h.

    Articles recommandés

    Besoin d'accompagnement ?

    Nos experts vous accompagnent dans votre mise en conformité NIS2 et RGPD.

    Demander un diagnostic gratuit