Registre des traitements RGPD

Modele de registre des traitements RGPD Art. 30 conforme CNIL 2026. Tableau structure responsable + sous-traitant, finalites, bases legales Art. 6, destinataires, durees conservation. Pret a personnaliser. Sandy avocat.

Ce modèle de registre des activités de traitement vous permet de répondre à l'obligation de l'article 30 du RGPD. Le registre est le document central de votre démarche de conformité RGPD : il recense l'ensemble des traitements de données personnelles effectués par votre organisation et constitue la première pièce demandée par la CNIL en cas de contrôle.

Vérifié Me Sandy Lacroix

Word + PDF personnalisable

Téléchargement immédiat

Paiement Stripe sécurisé · Facture PDF · Mise à jour à vie

Contenu du modèle

Tout ce qu'un cabinet vous facturerait.
Pour 9.99€.

Un modèle prêt à publier, vérifié par avocate, articles de loi cités, jurisprudence à jour, conformité 2026 intégrée.

Document principal

Modèle juridique complet, articles de loi intégrés

Document Word personnalisable + PDF prêt à signer. Chaque clause sourcée Légifrance, vérifiée par Me Lacroix, mise à jour à chaque évolution législative.

Avoir cartographié l'ensemble de vos traitements de données personnelles (recensement préalable auprès de chaque service)
Avoir identifié pour chaque traitement : finalité, base légale (Art. 6 RGPD), catégories de données et de personnes, destinataires, durée de conservation
Avoir recensé l'ensemble de vos sous-traitants au sens de l'article 28 RGPD et vérifié la signature des DPA (Data Processing Agreement)
Avoir désigné un DPO si vous remplissez l'une des 3 conditions de l'article 37 RGPD
Avoir consulté la liste CNIL des traitements soumis à AIPD (délibération 2018-327)

Validation juridique

Vérifié par avocate inscrite

Maître Sandy Lacroix, Barreau de Tulle depuis 2011, valide chaque modèle et signe une attestation de conformité.

Format

Word + PDF, prêt à signer

Document Word personnalisable et PDF auto-rempli depuis votre profil. Archive ZIP avec LISEZ-MOI inclus.

MAJ légales

À vie, sans surcoût

Re-téléchargez la dernière version à chaque réforme.

Conformité 2026

Réformes intégrées

Ord. 2026-2, DSA, EAA, RGPD déjà inclus.

Paiement

Stripe + 3DS2

Paiement sécurisé, facture PDF automatique.

Comparatif

Pourquoi pas un modèle gratuit ou un avocat ?

Le bon réflexe dépend de votre situation. Trois options, trois rapports qualité-prix.

Modèle gratuit en ligne

0 €

Modèle générique, non-vérifié

Aucune vérification avocat
Lois souvent dépassées
Pas de MAJ légales
Risque clauses abusives
Téléchargement immédiat

DossierJuridique.fr

9.99€ TTC

Vérifié avocate · MAJ à vie

Validé Me Lacroix
Réformes 2026 intégrées
MAJ légales à vie gratuite
Word + PDF + auto-remplissage
Garantie remboursement 14 j

Avocat traditionnel

250–800 €

Sur-mesure, délai 1–3 semaines

Conseil personnalisé
Rédaction sur-mesure
Délai 1 à 3 semaines
Refacturé à chaque MAJ
Pertinent si litige complexe

Conformément à la loi 71-1130 art. 54, nos modèles ne constituent pas une consultation juridique. Pour une situation complexe, consultez un avocat.

Guide d'utilisation

Comment utiliser ce modèle, étape par étape

Confirmation par email
Après paiement, vous recevez un email avec votre facture et un lien direct vers votre compte.
Accès depuis « Mes templates achetés »
Votre modèle apparaît en tête de liste dans votre espace personnel, accessible à tout moment.
Deux modes au choix
Téléchargement DOCX brut (Word vide à remplir) ou PDF personnalisé via formulaire wizard.
Personnalisation rapide
Le wizard pré-remplit automatiquement les champs depuis votre profil DossierJuridique (raison sociale, SIRET, capital, adresse…).
Archive ZIP finalisée
Archive contenant votre document final accompagné d'un LISEZ-MOI avec disclaimers et normes légales applicables.

7 champs à personnaliser dans Registre des traitements RGPD

Dénomination sociale

Auto-rempli depuis votre profil. Indiquer le nom exact tel qu'inscrit au RCS, au RNA (associations) ou figurant dans vos statuts.

Exemple : ACME SAS (et non 'Acme', 'ACME', ou 'Acme société par actions simplifiée')

Erreurs courantes :

Confondre nom commercial et raison sociale
Oublier la forme juridique

Désignation d'un DPO

La désignation d'un DPO est obligatoire dans 3 cas (Art. 37.1 RGPD) : (a) autorité ou organisme public, (b) activités de base impliquant un suivi régulier et systématique à grande échelle des personnes, (c) traitement à grande échelle de données sensibles (Art. 9) ou pénales (Art. 10). En dehors de ces 3 cas, la désignation reste recommandée par la CNIL.

Exemple : Oui pour une mutuelle (santé à grande échelle), Non pour une PME industrielle classique sans traitement de données sensibles à grande échelle

Erreurs courantes :

Croire que la désignation dépend du nombre de salariés (faux — c'est la nature du traitement qui compte)
Désigner un DPO sans s'assurer de son indépendance (Art. 38.3 RGPD)

Finalité du traitement

La finalité doit être déterminée, explicite et légitime (Art. 5.1.b RGPD). Une finalité vague comme 'gestion administrative' n'est pas conforme : il faut décomposer en finalités précises (paie, gestion des congés, formation, etc.).

Exemple : 'Établir les bulletins de paie mensuels des salariés et effectuer la DSN' est conforme. 'Gestion RH' ne l'est pas.

Erreurs courantes :

Finalités trop génériques
Mélanger plusieurs finalités dans une même fiche au lieu de créer plusieurs fiches

Base légale

Une seule base légale par traitement (Art. 6.1 RGPD). La CNIL rappelle que le consentement (Art. 6.1.a) est résiduel : il ne doit être utilisé que lorsque aucune autre base ne s'applique. Pour les salariés, la base est rarement le consentement (déséquilibre du rapport contractuel).

Exemple : Paie = Obligation légale (Art. 6.1.c) — Code du travail. Newsletter prospect = Consentement (Art. 6.1.a). Caméra de vidéosurveillance = Intérêt légitime (Art. 6.1.f) avec test de mise en balance.

Erreurs courantes :

Choisir le consentement par défaut sans raison
Invoquer 'intérêt légitime' sans test de mise en balance documenté

Données sensibles (Art. 9)

Le traitement de données sensibles est INTERDIT par principe (Art. 9.1 RGPD), sauf exception listée à l'Art. 9.2 (10 exceptions : consentement explicite, droit du travail, intérêts vitaux, intérêt public majeur, médecine du travail, santé publique, etc.). Identifier la donnée sensible et l'exception applicable est crucial.

Exemple : Arrêts maladie d'un salarié = donnée de santé (Art. 9) couverte par Art. 9.2.b (obligations droit du travail/sécurité sociale).

Erreurs courantes :

Ne pas considérer les certificats médicaux comme données sensibles
Confondre données sensibles (Art. 9) et données pénales (Art. 10)

Durée de conservation

Les données ne peuvent être conservées que pour une durée n'excédant pas celle nécessaire à la finalité (Art. 5.1.e RGPD). Distinguer 3 phases : base active (utilisation quotidienne), archivage intermédiaire (accès restreint pour obligation légale ou contentieux), suppression définitive.

Exemple : Données de paie : Active = durée du contrat. Archivage = 5 ans (prescription L.3245-1 CT) pour les variables de paie, 50 ans pour les bulletins (D.3243-8 CT).

Erreurs courantes :

Conservation 'au cas où' sans durée définie
Ne pas mettre en place de processus de purge automatique

AIPD requise

L'AIPD est obligatoire si le traitement est susceptible d'engendrer un risque élevé (Art. 35.1 RGPD), notamment dans les cas listés Art. 35.3 (profilage à grande échelle, surveillance systématique de zones publiques, données sensibles à grande échelle) et dans la liste CNIL délibération 2018-327. À défaut, recommandée pour traçabilité.

Exemple : Caméras de surveillance avec reconnaissance faciale = AIPD obligatoire. Paie classique = pas d'AIPD requise.

Erreurs courantes :

Penser que l'AIPD est toujours obligatoire (faux)
Penser qu'elle n'est jamais obligatoire (faux aussi)

Délais & envoi

Tout pour réussir l'envoi de votre dossier

3 délais à respecter sous peine d'irrecevabilité

72 heures pour notifier la CNIL d'une violation de données (Art. 33 RGPD) — point de départ : Prise de connaissance de la violation par le responsable de traitement
Durée de conservation des données de paie : 5 ans (variables) à 50 ans (bulletins) (Art. L.3243-1 et D.3243-8 du Code du travail) — point de départ : Fin du contrat de travail
Sanctions CNIL : prescription de l'action 3 ans (procédure de sanction) (Art. 20 Loi 78-17 modifiée) — point de départ : Jour où le manquement a cessé

Continuer

Vos questions, nos réponses

Qui doit tenir un registre des traitements RGPD selon l'article 30 ?

Tout responsable de traitement (Art. 30.1 RGPD) ET tout sous-traitant (Art. 30.2 RGPD) doivent tenir leur propre registre. L'exemption Art. 30.5 pour les organismes de moins de 250 salariés est très limitée : elle ne s'applique PAS si le traitement est non occasionnel, comporte un risque, porte sur des données sensibles (Art. 9) ou des condamnations pénales (Art. 10). En pratique, la CNIL recommande à TOUS les organismes de tenir un registre, y compris les TPE et associations.

Quelles informations le registre du responsable doit-il contenir (Art. 30.1) ?

Le registre du responsable doit comporter : nom et coordonnées du responsable et du DPO, finalités du traitement, catégories de personnes concernées, catégories de données, catégories de destinataires (y compris pays tiers), transferts hors UE et garanties Art. 46, durées de conservation envisagées, et description générale des mesures de sécurité Art. 32. Le registre du sous-traitant (Art. 30.2) contient des éléments adaptés à son rôle (nom du responsable pour qui il agit, catégories de traitements effectués pour son compte).

Le registre doit-il être publié ou rendu public ?

Non. Le registre est un document interne (Art. 30.4 RGPD). Il doit être tenu par écrit (y compris sous forme électronique) et mis à la disposition de la CNIL sur demande, dans le cadre d'un contrôle. La CNIL peut demander sa transmission par voie électronique. Toute personne concernée peut demander des informations sur ses propres données au titre du droit d'accès (Art. 15 RGPD), mais ne peut pas exiger la communication du registre.

Quelle sanction en cas d'absence ou d'irrégularité du registre ?

L'absence ou la tenue irrégulière du registre constitue un manquement aux obligations du responsable (Art. 30) sanctionné par l'Art. 83.4 RGPD : amende administrative jusqu'à 10 millions d'euros OU 2 % du chiffre d'affaires annuel mondial (le montant le plus élevé étant retenu). La CNIL a sanctionné plusieurs organismes pour absence de registre dans ses délibérations 2019-2025 (TPE comme grands groupes). Le registre est aussi un document central en cas de contrôle CNIL : son absence aggrave généralement la sanction des autres manquements.

Quelle est la différence entre le registre Art. 30, l'AIPD Art. 35 et la documentation Art. 24 ?

Le registre Art. 30 est un INVENTAIRE de tous les traitements (obligatoire pour presque tous les organismes). L'AIPD Art. 35 est une analyse approfondie des risques pour UN traitement spécifique à risque élevé (obligatoire seulement dans certains cas, voir liste CNIL délibération 2018-327). La documentation Art. 24 désigne l'ensemble des politiques internes (charte informatique, procédure violation, formation, politique de confidentialité) qui démontrent la conformité (principe d'accountability). Les trois sont complémentaires et doivent coexister dans toute organisation conforme.

Faut-il créer une fiche par traitement ou peut-on regrouper ?

Une fiche par traitement (Art. 30.1 RGPD). Un 'traitement' s'entend au sens d'une opération ou ensemble d'opérations ayant une finalité unique. La paie, la gestion des candidatures, la newsletter prospects, la vidéosurveillance sont des traitements distincts qui nécessitent chacun une fiche. Ne pas regrouper sous une rubrique générique 'gestion RH' qui mélangerait plusieurs finalités.

À quelle fréquence faut-il mettre à jour le registre ?

Le registre doit être tenu à jour en permanence (Art. 30.4 RGPD). En pratique : (1) mise à jour immédiate à chaque création/modification/suppression de traitement, (2) revue annuelle complète recommandée par la CNIL, (3) mise à jour systématique en cas de changement de sous-traitant, de finalité ou de durée de conservation. Conserver l'historique des versions pour démontrer la diligence.

Les sous-traitants doivent-ils aussi tenir un registre ?

Oui (Art. 30.2 RGPD). Le registre du sous-traitant a un contenu adapté à son rôle : il liste les catégories de traitements effectués pour le compte de chaque responsable de traitement, identifie le responsable et son DPO, mentionne les transferts hors UE et les mesures de sécurité Art. 32. Un cabinet comptable, un hébergeur, un éditeur SaaS, une agence de communication doivent tous tenir leur propre registre Art. 30.2.

Téléchargez votre modèle maintenant

9.99€ TTC, paiement Stripe sécurisé, archive ZIP livrée immédiatement par email. Vérifiée par avocate, prête à publier.

Satisfait ou remboursé 14 joursSans condition (Art. L.221-18 C. conso)
MAJ légales à vieRe-téléchargeable à chaque réforme
Support 7 j/7Réponse sous 24 h
Paiement Stripe + 3DS2Données bancaires jamais stockées

Registre des traitements RGPD