Le registre des traitements : à quoi ça sert et comment le tenir
Le registre des traitements est la colonne vertébrale de votre conformité : c'est le document qui liste, noir sur blanc, ce que vous faites des données personnelles. Souvent perçu comme lourd, il se résume en réalité à un tableau clair que la plupart des TPE/PME peuvent tenir elles-mêmes.
Qu'est-ce que le registre des traitements ?
Le registre est un inventaire de tous les traitements de données personnelles que vous mettez en œuvre : gestion des clients, prospection, recrutement, paie, mesure d'audience du site… Pour chacun, il décrit ce que vous collectez, pourquoi, pendant combien de temps et avec qui vous le partagez. Il matérialise le principe de responsabilité (accountability) : être capable de démontrer sa conformité.
Qui doit en tenir un ?
L'obligation découle de l'article 30 du RGPD. Une dispense partielle existe pour les organismes de moins de 250 salariés, mais elle tombe dès que les traitements ne sont pas occasionnels, qu'ils portent sur des données sensibles ou qu'ils présentent un risque — ce qui couvre en pratique la quasi-totalité des entreprises ayant des clients et des salariés. Autrement dit : dans le doute, tenez un registre.
Ce que doit contenir chaque fiche de traitement
- Le nom et la finalité du traitement (ex. « gestion des commandes »).
- La base légale (contrat, consentement, obligation légale, intérêt légitime…).
- Les catégories de personnes concernées (clients, prospects, salariés).
- Les catégories de données collectées (identité, coordonnées, données de paiement…).
- Les destinataires, internes et externes (sous-traitants).
- Les durées de conservation par catégorie de données.
- Les transferts hors UE éventuels et leurs garanties.
- Une description générale des mesures de sécurité.
Comment le construire simplement
1. Lister vos traitements
Passez en revue vos activités : site web, facturation, e-mailing, ressources humaines. Chaque activité qui utilise des données de personnes est un traitement.
2. Remplir une fiche par traitement
Un tableau (tableur ou modèle CNIL) suffit. Une ligne = un traitement, une colonne par information attendue.
3. Le tenir à jour
Le registre est vivant : chaque nouvel outil, nouveau formulaire ou nouvelle finalité doit y être ajouté. Une revue au moins annuelle est une bonne habitude.
Registre et audit technique : deux volets complémentaires
Le registre relève de l'organisation interne : il ne se vérifie pas depuis l'extérieur. Une analyse automatisée de votre site ne peut donc pas le contrôler — elle le signale comme un point à traiter manuellement. En revanche, l'analyse aide à alimenter le registre : en révélant les outils tiers réellement chargés (mesure d'audience, widgets, transferts hors UE), elle met en lumière des traitements et des destinataires parfois oubliés.
- Le registre inventorie tous vos traitements de données (finalité, base légale, durées, destinataires).
- L'obligation (art. 30) concerne en pratique la quasi-totalité des entreprises.
- Un simple tableau, une fiche par traitement, tenu à jour, suffit dans la plupart des cas.
- Il s'agit d'un volet organisationnel : à auditer à la main, complémentaire du scan technique.
Questions fréquentes
Sur le même sujet
Sources & références officielles
Votre site est-il concerné ?
Analysez-le gratuitement en 30 secondes : cookies, sécurité e-mail, transferts hors UE et plus encore.
Ce guide est une aide à la compréhension et à la conformité. Il ne constitue pas un avis juridique. Mis à jour le 17 juillet 2026.