Traitements non occasionnels
Paie, fichier clients, newsletter, CRM… tout traitement récurrent rend le registre obligatoire. En pratique, toute entreprise ayant au moins un salarié ou un fichier client est concernée.
Article 30 du RGPD
Registre des traitements RGPD — Guide complet Article 30
L'Article 30 du RGPD impose à toute organisation de tenir un registre des activités de traitement. C'est le premier document demandé lors d'un contrôle CNIL. Découvrez ce qu'il doit contenir, qui est concerné, et comment le créer simplement avec Dativo.
Pourquoi le registre des traitements est obligatoire
L'Article 30 du RGPD impose à tout responsable de traitement de documenter l'ensemble de ses activités de traitement de données personnelles.
Cette obligation concerne toutes les organisations, quelle que soit leur taille. La CNIL considère le registre comme la pièce maîtresse de la conformité : c'est le premier document demandé lors d'un contrôle.
Ne pas disposer d'un registre à jour expose votre organisation à des sanctions pouvant aller jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial.
Qui doit tenir un registre des traitements ?
Toutes les organisations qui traitent des données personnelles, sans exception.
L'Article 30.5 du RGPD prévoit une dérogation pour les entreprises de moins de 250 salariés, mais cette exception est si restreinte qu'elle ne s'applique quasiment jamais en pratique. Le registre reste obligatoire dès que l'un de ces cas s'applique :
Données sensibles
Santé, opinions politiques, données biométriques, infractions… Si vous traitez des données de catégories particulières, le registre est impératif.
Risque pour les droits
Tout traitement susceptible de comporter un risque pour les droits et libertés des personnes concernées déclenche l'obligation — vidéosurveillance, géolocalisation, scoring, etc.
La recommandation de la CNIL est claire : toutes les organisations devraient tenir un registre, quelle que soit leur taille. C'est la pièce maîtresse de la conformité.
Que doit contenir le registre des traitements ? (Article 30.1)
L'Article 30.1 du RGPD liste précisément les informations que le responsable de traitement doit documenter pour chaque activité de traitement.
| Information obligatoire | Exemple concret |
|---|---|
| Nom et coordonnées du responsable de traitement (et du DPO le cas échéant) | Société Dupont SAS, 12 rue de la Paix, Paris — DPO : Jean Martin |
| Finalités du traitement | Gestion de la paie, prospection commerciale, vidéosurveillance des locaux |
| Catégories de personnes concernées | Salariés, clients, prospects, visiteurs du site web |
| Catégories de données personnelles | Nom, prénom, email, adresse IP, données bancaires (pour la paie) |
| Destinataires des données | Service RH interne, cabinet comptable (sous-traitant), URSSAF |
| Transferts hors UE (le cas échéant) | Aucun — ou : USA via Google Analytics (clauses contractuelles types) |
| Délais de conservation | Données paie : 5 ans après départ du salarié — Prospects : 3 ans après dernier contact |
| Mesures de sécurité techniques et organisationnelles | Chiffrement at rest, contrôle d'accès par rôle, sauvegarde quotidienne |
Avec Dativo, chaque champ est pré-rempli avec des suggestions adaptées à votre secteur. L'assistant vous guide pour ne rien oublier — même si vous n'avez aucune formation juridique.
Le registre du sous-traitant (Article 30.2)
On l'oublie souvent, mais l'Article 30.2 impose un second registre si votre organisation agit comme sous-traitant de données personnelles.
Ce registre doit documenter, pour chaque client (responsable de traitement) : les catégories de traitements effectués, les transferts hors UE éventuels et les mesures de sécurité appliquées.
Exemple : un cabinet comptable qui gère la paie pour ses clients est sous-traitant au sens du RGPD. Il doit tenir à la fois son propre registre (Article 30.1) et un registre sous-traitant (Article 30.2) listant les traitements réalisés pour chaque client.
Avec Dativo, le registre sous-traitant est intégré nativement — pas besoin de gérer deux outils séparés.
Registre RGPD sur Excel vs logiciel dédié
Beaucoup d'organisations commencent avec un tableur Excel ou le modèle de la CNIL. C'est un bon début, mais ça atteint vite ses limites.
| Critère | Excel / Modèle CNIL | Dativo |
|---|---|---|
| Mise à jour | Manuelle, souvent oubliée | Alertes automatiques |
| Historique | Aucun (pas de versioning) | Chaque modification tracée |
| Accès multi-utilisateurs | Conflits de version | Accès simultané par rôle |
| Export CNIL | Mise en forme manuelle | Export PDF conforme en 1 clic |
| Liaison AIPD / sous-traitants | Onglets séparés, liens manuels | Tout est lié nativement |
| Modèles par secteur | Générique | RH, marketing, santé, etc. |
| Conformité démontrable | Difficile à prouver | Horodatage + piste d'audit |
Le modèle Excel de la CNIL est un point de départ acceptable pour une TPE avec 2-3 traitements. Dès que vous dépassez 10 traitements ou que vous avez plusieurs personnes impliquées, un outil dédié comme Dativo vous fera gagner des heures et renforcera votre conformité en cas de contrôle.
Quelles sanctions en cas d'absence de registre ?
L'absence de registre ou un registre incomplet est systématiquement relevé par la CNIL lors de ses contrôles.
Le RGPD prévoit des amendes jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour un manquement à l'Article 30. En pratique, la CNIL prononce des sanctions proportionnées mais significatives :
Délibération CNIL SAN-2022-009 — Une société sanctionnée à 175 000 € pour registre inexistant et absence de DPO malgré un traitement à grande échelle de données de santé.
Bilan CNIL 2025 — 87 sanctions pour un total record de 487 millions d'euros. Le registre incomplet est cité dans la majorité des décisions comme un facteur aggravant.
Mise en demeure — Avant la sanction, la CNIL peut mettre en demeure avec un délai de mise en conformité (généralement 1 à 3 mois). Un registre à jour à ce moment-là peut faire la différence.
Au-delà de l'amende, l'absence de registre compromet toute votre défense en cas de contrôle. C'est la preuve que vous prenez la conformité au sérieux — ou pas.
Ce que Dativo vous apporte pour votre registre
Fini les tableurs Excel. Votre registre est vivant, à jour et conforme.
Modèles pré-remplis
Des modèles adaptés à votre secteur d'activité pour démarrer rapidement : RH, marketing, comptabilité, vidéosurveillance, etc.
Assistant pas à pas
L'assistant Dativo vous pose les bonnes questions et remplit les champs obligatoires pour vous. Aucune connaissance juridique requise.
Historique des modifications
Chaque modification est tracée avec date et auteur. Démontrez la vie de votre registre en cas de contrôle CNIL.
Export PDF et CSV
Exportez votre registre en un clic dans un format conforme, prêt à être présenté à la CNIL ou à votre direction.
Traitements liés
Associez vos traitements à vos sous-traitants, vos AIPD et vos mesures de sécurité pour une vision complète.
Alertes de mise à jour
Dativo vous rappelle quand un traitement n'a pas été révisé depuis trop longtemps. Votre registre reste toujours à jour.
Créer votre registre en 4 étapes
1. Identifiez vos traitements
Listez toutes les activités qui impliquent des données personnelles : gestion des salariés, fichier clients, newsletter, vidéosurveillance, etc.
2. Décrivez chaque traitement
Pour chaque traitement, renseignez la finalité, la base légale, les catégories de données, les destinataires et les durées de conservation.
3. Documentez les mesures de sécurité
Décrivez les mesures techniques et organisationnelles mises en place pour protéger les données : chiffrement, contrôle d'accès, sauvegardes.
4. Maintenez-le à jour
Le registre est un document vivant. Mettez-le à jour à chaque nouveau traitement, changement de finalité ou de sous-traitant. Dativo vous envoie des rappels.
Questions fréquentes sur le registre des traitements
Oui. L'Article 30 du RGPD impose à tout responsable de traitement de tenir un registre des activités de traitement. Cette obligation concerne toutes les organisations, quelle que soit leur taille.
Le registre doit contenir pour chaque traitement : sa finalité, les catégories de données collectées, les destinataires, les durées de conservation, les mesures de sécurité et, le cas échéant, les transferts hors UE.
Techniquement oui, mais un tableur devient vite ingérable à mesure que le nombre de traitements augmente. Un logiciel dédié comme Dativo offre des modèles pré-remplis, un historique des modifications et un export conforme automatique.
Avec les modèles pré-remplis, vous pouvez créer un premier registre fonctionnel en moins d'une heure. L'assistant vous guide étape par étape pour que rien ne soit oublié.
L'Article 30.1 concerne le responsable de traitement (celui qui décide des finalités) et couvre la totalité des informations : finalité, base légale, durées, etc. L'Article 30.2 concerne le sous-traitant (celui qui agit pour le compte du responsable) et se concentre sur les catégories de traitements réalisés pour chaque client. Si vous êtes les deux (ce qui est fréquent), vous devez tenir les deux registres. Dativo gère les deux nativement.
Pratiquement jamais. L'exception de l'Article 30.5 ne s'applique que si vos traitements sont strictement occasionnels, ne portent sur aucune donnée sensible et ne présentent aucun risque pour les personnes. Dès que vous gérez une base clients, une paie ou un site web avec formulaire de contact, le registre redevient obligatoire. La CNIL recommande d'ailleurs à toutes les organisations de le tenir, quelle que soit leur taille.
Le RGPD impose uniquement une forme écrite (Article 30.3). Le format est libre : papier, tableur, logiciel dédié. Cependant, la CNIL attend un document structuré, à jour et facilement consultable. Un logiciel comme Dativo génère un export PDF conforme en un clic, avec horodatage et piste d'audit — exactement ce que la CNIL veut voir.
Le registre doit refléter la réalité à tout moment. Mettez-le à jour dès qu'un nouveau traitement est créé, qu'un sous-traitant change, ou que les finalités évoluent. En pratique, prévoyez au minimum une revue trimestrielle. Dativo vous envoie des alertes automatiques quand un traitement n'a pas été révisé depuis trop longtemps.
Complétez votre conformité
Votre registre des traitements en quelques clics
Ne laissez plus votre registre dormir dans un fichier Excel. Dativo vous aide à le créer, le maintenir et le présenter en toute confiance.
Créer mon registre gratuitement