Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Jeudi 2 juillet 2026
RGPD

Modèle de registre sous-traitant (article 30) 2026

Modèle de registre du sous-traitant article 30(2) RGPD 2026 : champs obligatoires, exemple rempli, différence avec le registre du responsable. Prêt à adapter.

L’essentiel. L’article 30(2) du RGPD impose à tout sous-traitant de tenir son propre registre : la liste des traitements qu’il réalise pour le compte de ses clients responsables de traitement. Ce registre est distinct — et beaucoup plus léger — que celui du responsable de traitement (article 30(1)). Il comporte quatre catégories d’informations obligatoires. Le modèle ci-dessous est directement utilisable.

Une confusion tenace persiste dans la pratique : beaucoup de prestataires — agences, éditeurs de logiciels, hébergeurs, centres d’appels, cabinets de paie — pensent que le registre des traitements ne concerne que leurs clients. C’est faux. Dès lors que vous traitez des données personnelles pour le compte d’autrui, vous êtes sous-traitant au sens de l’article 4(8), et l’article 30(2) vous impose votre propre registre.

Dans ma pratique de conseil, je vois régulièrement des prestataires en règle sur leurs contrats (les fameuses clauses de l’article 28) mais dépourvus de tout registre de sous-traitance. Or c’est l’un des premiers documents que la CNIL réclame lors d’un contrôle visant un sous-traitant. Ce guide clarifie ce qu’est ce registre, en quoi il diffère de celui du responsable, et fournit un modèle avec les champs exacts exigés par l’article 30(2)(a) à (d).

Registre du responsable, registre du sous-traitant : deux documents différents

C’est la distinction fondamentale, et elle conditionne tout le reste.

Le registre du responsable de traitement (article 30(1)) recense les traitements que vous décidez : finalités, bases légales, durées de conservation, destinataires. Il est riche et détaillé.

Le registre du sous-traitant (article 30(2)) recense les traitements que vous réalisez pour le compte de vos clients, sur leurs instructions. Vous ne décidez ni la finalité ni la base légale — c’est le responsable qui les fixe. Votre registre est donc plus léger : il documente le fait que vous agissez comme prestataire, pour qui, et avec quelles mesures de sécurité.

Registre responsable — art. 30(1) Registre sous-traitant — art. 30(2)
Qui le tient Celui qui décide des finalités Celui qui traite pour le compte d’autrui
Contenu Finalités, bases légales, durées, destinataires Clients, catégories de traitements, transferts, sécurité
Mentionne les finalités ? Oui Non (c’est le client qui les fixe)
Nombre d’entrées Une par traitement Une par catégorie de traitement réalisé pour des clients

Une même organisation peut devoir tenir les deux : le registre 30(1) pour ses propres traitements (paie de ses salariés, prospection…) et le registre 30(2) pour les traitements réalisés au profit de ses clients. C’est le cas typique d’une agence ou d’un éditeur SaaS.

Le cadre légal : article 30(2)

L’article 30(2) énumère limitativement les informations que le registre du sous-traitant doit contenir :

  • 30(2)(a) — le nom et les coordonnées du sous-traitant, de chaque responsable de traitement pour le compte duquel il agit, et le cas échéant du représentant et du DPO ;
  • 30(2)(b) — les catégories de traitements effectués pour le compte de chaque responsable ;
  • 30(2)© — le cas échéant, les transferts de données vers un pays tiers, avec l’identification du pays et, pour certains transferts, les garanties appropriées ;
  • 30(2)(d) — dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles (renvoi à l’article 32).

L’article 30(3) exige que le registre soit tenu par écrit, y compris sous forme électronique. L’article 30(4) impose de le mettre à la disposition de l’autorité de contrôle sur demande.

L’article 30(5) prévoit une dispense pour les organismes de moins de 250 salariés — mais elle est largement neutralisée en pratique : elle tombe dès que le traitement n’est pas occasionnel, ou porte sur des données sensibles. Un sous-traitant traite par définition des données de façon habituelle : dans la quasi-totalité des cas, le registre reste obligatoire.

Modèle indicatif fourni à titre documentaire — ne constitue pas un conseil juridique. À adapter à votre contexte avant usage. Version 1.0 — 2 juillet 2026.

Modèle de registre du sous-traitant

REGISTRE DES ACTIVITÉS DE TRAITEMENT — SOUS-TRAITANT (art. 30(2) RGPD) [Nom du sous-traitant] — Coordonnées : […] — Représentant / DPO le cas échéant : […] Version : [x.x] — Dernière mise à jour : [jj/mm/aaaa]

Fiche par catégorie de traitement

Traitement n° [1] — [ex. : Hébergement de la plateforme SaaS]

Rubrique Contenu
(a) Responsables concernés [Liste des clients responsables de traitement, ou renvoi à une annexe « clients » tenue à jour]
(a) Coordonnées [Contact de chaque responsable ; ou annexe]
(a) DPO du sous-traitant [Nom, contact — si désigné]
(b) Catégories de traitements réalisés [ex. : hébergement, sauvegarde, maintenance applicative, support]
© Transferts hors EEE [Pays destinataire, garanties : CCT / DPF / adéquation — ou « aucun »]
(d) Mesures de sécurité (art. 32) [chiffrement, contrôle d’accès, journalisation, sauvegardes, cloisonnement…]
Sous-traitants ultérieurs [Prestataires que vous mobilisez à votre tour, avec autorisation du responsable]

Traitement n° [2] — [ex. : Traitement de la paie pour le compte de clients]

Rubrique Contenu
(a) Responsables concernés […]
(b) Catégories de traitements [collecte des variables de paie, édition des bulletins, déclarations sociales]
© Transferts hors EEE [aucun / …]
(d) Mesures de sécurité […]

Reproduire une fiche par catégorie de traitement. Les listes de clients volumineuses peuvent être renvoyées à une annexe actualisée.

Exemple rempli : hébergeur SaaS

Pour rendre le modèle concret, voici une fiche illustrative pour un éditeur de logiciel en mode SaaS.

Rubrique Exemple
(a) Responsables concernés Clients abonnés (voir annexe « portefeuille clients »)
(a) DPO Oui — dpo@[editeur].fr
(b) Catégories de traitements Hébergement des données clients, sauvegarde quotidienne, support technique de niveau 2, maintenance corrective
© Transferts hors EEE Aucun — hébergement dans l’EEE
(d) Mesures de sécurité Chiffrement TLS en transit et AES au repos ; authentification forte ; cloisonnement logique par client ; journalisation des accès ; sauvegardes chiffrées ; PRA testé
Sous-traitants ultérieurs [Prestataire d’infogérance], sur autorisation contractuelle des clients

Ce registre s’articule avec le contrat de sous-traitance de l’article 28, qui doit encadrer chacune de ces relations, et avec le questionnaire d’évaluation que vos propres clients vous adressent pour vérifier vos garanties.

Comment le construire : la méthode

  1. Identifiez vos casquettes. Distinguez ce que vous traitez pour vous (registre 30(1)) de ce que vous traitez pour vos clients (registre 30(2)).
  2. Regroupez par catégorie de traitement, pas par client. Si vous hébergez 300 clients pour le même service, c’est une seule fiche « hébergement » avec une annexe listant les clients — pas 300 fiches.
  3. Documentez la chaîne. Vos propres sous-traitants ultérieurs (infogérance, prestataire d’emailing, etc.) doivent figurer, avec l’autorisation du responsable.
  4. Décrivez les mesures de sécurité de façon vérifiable. Évitez « données sécurisées » : listez chiffrement, contrôle d’accès, journalisation, sauvegardes.
  5. Datez et versionnez. L’article 30(2) impose un document tenu à jour et disponible.

Pour maintenir à jour le registre 30(2) sur un portefeuille de clients important, avec suivi des sous-traitants ultérieurs et des transferts, un logiciel RGPD permet de centraliser les fiches et de générer la version présentable à l’autorité de contrôle.

Bien qualifier votre rôle : sous-traitant, responsable ou responsable conjoint ?

Avant même de remplir le registre, encore faut-il être certain d’être sous-traitant. La qualification ne dépend pas de l’intitulé du contrat, mais de la réalité : qui décide des finalités et des moyens essentiels du traitement ?

  • Vous êtes sous-traitant (article 4(8)) si vous traitez les données sur les instructions d’un client qui, seul, fixe les finalités. C’est le cas de l’hébergeur ou du prestataire de paie.
  • Vous êtes responsable de traitement si vous déterminez vous-même les finalités — y compris lorsque vous réutilisez, pour votre propre compte, des données collectées dans le cadre d’une prestation.
  • Vous êtes responsable conjoint (article 26) si vous définissez les finalités et moyens conjointement avec un partenaire.

Cette qualification commande le registre applicable : 30(2) pour le sous-traitant, 30(1) pour le responsable. Une erreur de qualification produit un registre inadapté et, plus grave, une répartition erronée des responsabilités. Dans le doute, analysez traitement par traitement : une même relation commerciale peut mêler des activités de sous-traitance et des activités où vous êtes responsable.

Maintenir l’annexe « clients » à jour

Le point de fragilité opérationnelle du registre 30(2) est la liste des responsables (rubrique (a)). Sur un portefeuille qui évolue — nouveaux clients, résiliations —, cette liste se périme vite. Deux bonnes pratiques : renvoyer la liste nominative à une annexe dédiée, mise à jour au rythme des entrées et sorties de clients, plutôt que de la figer dans chaque fiche ; et dater cette annexe pour démontrer sa tenue régulière. L’article 30(2)(a) exige d’identifier chaque responsable pour le compte duquel vous agissez : une annexe vivante répond à cette exigence sans alourdir les fiches par catégorie de traitement.

Erreurs fréquentes

Erreur Conséquence
Croire que seul le client tient un registre Manquement à l’article 30(2), premier point de contrôle CNIL
Confondre 30(1) et 30(2) Registre inadapté, finalités mentionnées à tort
Une fiche par client au lieu d’une par traitement Registre ingérable, non tenu à jour
Oublier les sous-traitants ultérieurs Chaîne de traitement incomplète
Mesures de sécurité vagues Rubrique (d) non probante
Se croire dispensé par le seuil de 250 salariés Dispense inapplicable au traitement habituel

FAQ

Suis-je concerné par le registre de l’article 30(2) ?

Si vous traitez des données personnelles pour le compte d’un client, sur ses instructions, sans en décider les finalités, vous êtes sous-traitant et l’article 30(2) vous impose ce registre. Cela vise notamment les hébergeurs, éditeurs SaaS, agences web et marketing, cabinets de paie et comptables, centres d’appels, prestataires de maintenance informatique. Le contrat de l’article 28 ne suffit pas : le registre est une obligation distincte.

Le registre du sous-traitant remplace-t-il celui du responsable ?

Non. Ce sont deux obligations distinctes. Si votre organisation traite aussi ses propres données (paie de vos salariés, prospection commerciale pour votre compte), vous êtes responsable de traitement pour ces activités et devez tenir un registre 30(1) en plus du registre 30(2). La plupart des prestataires doivent tenir les deux.

Dois-je mentionner les finalités dans le registre du sous-traitant ?

Non. Contrairement au registre du responsable, l’article 30(2) ne demande pas les finalités — car ce n’est pas vous qui les fixez, mais le responsable de traitement. Vous documentez les catégories de traitements que vous réalisez (héberger, sauvegarder, éditer des bulletins…), pas les finalités poursuivies par votre client.

La dispense pour les moins de 250 salariés s’applique-t-elle ?

En théorie oui, en pratique quasiment jamais. L’article 30(5) réserve la dispense aux traitements occasionnels, ne portant pas sur des données sensibles et sans risque pour les personnes. Or un sous-traitant traite par nature des données de façon habituelle et systématique : la condition d’occasionnalité n’est pas remplie. Considérez le registre comme obligatoire.

Faut-il une fiche par client ou par traitement ?

Par catégorie de traitement. Regroupez les clients auxquels vous rendez le même service dans une seule fiche, avec une annexe listant les responsables concernés et tenue à jour. Cela rend le registre lisible et maintenable, tout en respectant l’exigence de l’article 30(2)(a) d’identifier chaque responsable.

Le registre doit-il être communiqué à mes clients ?

L’obligation légale (article 30(4)) est de le mettre à disposition de l’autorité de contrôle. Vos clients responsables de traitement peuvent toutefois vous en demander des éléments, notamment via un questionnaire d’évaluation, dans le cadre de leur propre obligation de ne recourir qu’à des sous-traitants présentant des garanties suffisantes (article 28(1)). Il est de bonne pratique de pouvoir présenter la fiche correspondant à leur traitement.