Registre des traitements RGPD : modèle Excel et guide

La CNIL demande systématiquement à consulter le registre des activités de traitement lors de chaque contrôle. C’est souvent le premier document exigé — avant même les politiques de confidentialité ou les contrats de sous-traitance. Une entreprise sans registre ou avec un registre incomplet s’expose à une mise en demeure immédiate. Voici comment construire le vôtre correctement, avec la structure Excel qui correspond aux exigences de l’article 30 du RGPD.

Ce qu’est (vraiment) le registre des traitements

L’article 30 du RGPD impose à tout responsable de traitement de tenir « un registre des activités de traitement effectuées sous sa responsabilité ». Ce n’est pas une simple formalité administrative — c’est l’épine dorsale de votre documentation de conformité.

Le registre remplace les anciennes déclarations à la CNIL (supprimées depuis mai 2018). Mais attention : le changement est plus profond qu’un simple changement de formulaire. La déclaration était un acte ponctuel ; le registre est un document vivant, en évolution permanente, que vous devez maintenir à jour à chaque nouveau traitement ou modification substantielle.

En pratique, le registre sert à trois choses :

Premièrement, il vous oblige à recenser tous vos traitements de données personnelles. Cet exercice cartographique révèle souvent des traitements oubliés ou mal cadrés — des outils SaaS intégrés sans DPA, des données RH conservées trop longtemps, des bases marketing sans base légale claire.

Deuxièmement, il démontre votre conformité auprès de la CNIL. L’article 30(4) est explicite : le registre doit être mis à la disposition de l’autorité de contrôle sur demande. Sans registre, vous ne pouvez pas prouver que vous avez appliqué le principe d’accountability de l’article 5(2).

Troisièmement, il sert de base à vos analyses d’impact. Avant de lancer une analyse d’impact sur la protection des données (AIPD), vous devez savoir quels traitements existent. Impossible sans registre.

Qui doit tenir un registre ?

La règle de base : toute organisation qui traite des données personnelles. Ce qui signifie, en pratique, toutes les entreprises, associations, collectivités et administrations.

L’article 30(5) prévoit une exemption pour les organisations de moins de 250 salariés — mais cette exemption est tellement trouée qu’elle ne s’applique presque jamais. Elle tombe dès lors que :

• le traitement est susceptible d’engendrer un risque pour les droits et libertés des personnes concernées,
• le traitement n’est pas occasionnel,
• les données traitées incluent des données sensibles au sens de l’article 9 (santé, convictions religieuses, données syndicales, etc.) ou des données relatives à des condamnations pénales (article 10).

En pratique, toute PME qui traite des données clients, salariés ou prospects de façon régulière est concernée. Je n’ai jamais conseillé une entreprise de moins de 250 salariés qui pouvait légitimement se dispenser du registre. L’exemption ne concerne que les micro-structures avec des traitements vraiment ponctuels et non risqués — une association qui organise un événement unique, par exemple.

Si vous êtes sous-traitant (prestataire qui traite des données pour le compte d’un client), l’article 30(2) vous impose également un registre — mais avec une structure différente, centrée sur les traitements que vous effectuez pour chaque responsable de traitement. Les deux formats sont détaillés ci-dessous.

Les colonnes obligatoires : ce que dit l’article 30(1)

L’article 30(1) liste 7 catégories d’informations obligatoires pour le registre du responsable de traitement. En pratique, cela se traduit par 9 à 12 colonnes dans votre Excel.

Colonne 1 — Nom du traitement

Donnez un nom court, explicite et stable dans le temps : « Gestion des candidatures », « Newsletter marketing », « Paie et gestion RH », « Vidéosurveillance des locaux ». Évitez les noms vagues comme « Base clients » (trop large) ou « CRM » (c’est un outil, pas un traitement).

Colonne 2 — Finalité(s) du traitement

Décrivez l’objectif poursuivi par le traitement. Soyez précis : « Envoi d’emails commerciaux aux prospects ayant consenti » est une finalité. « Marketing » ne l’est pas.

Un traitement peut avoir plusieurs finalités, mais chacune doit être documentée séparément si elles reposent sur des bases légales différentes.

Colonne 3 — Base légale (Art. 6 RGPD)

Indiquez la base légale applicable parmi les six de l’article 6(1) :

• Consentement — Art. 6(1)(a)
• Exécution d’un contrat — Art. 6(1)(b)
• Obligation légale — Art. 6(1)©
• Sauvegarde des intérêts vitaux — Art. 6(1)(d)
• Mission d’intérêt public — Art. 6(1)(e)
• Intérêt légitime — Art. 6(1)(f) (avec justification dans une colonne dédiée)

Pour les données sensibles (Art. 9), ajoutez la base légale spécifique applicable parmi les 10 cas d’exemption de l’article 9(2).

Colonne 4 — Catégories de personnes concernées

Qui est visé par ce traitement ? Clients, prospects, salariés, candidats, fournisseurs, visiteurs, enfants mineurs, etc. Si plusieurs catégories sont mélangées dans le même traitement, listez-les toutes.

Colonne 5 — Catégories de données personnelles

Listez les types de données collectées : nom, prénom, email, téléphone, adresse IP, données bancaires, CV et parcours professionnel, photos, données de santé. Séparez clairement les données ordinaires des données sensibles (Art. 9) car leur traitement est soumis à des contraintes supplémentaires.

Colonne 6 — Destinataires et sous-traitants

Qui reçoit ou accède aux données ? Distinguez :

• les destinataires internes (quels services de l’entreprise),
• les sous-traitants (prestataires qui traitent pour votre compte — voir Art. 28),
• les tiers destinataires (partenaires commerciaux, sociétés mères, autorités publiques).

Pour chaque sous-traitant, vérifiez qu’un contrat de sous-traitance (DPA) est en place. Si ce n’est pas le cas, c’est une non-conformité à documenter et corriger.

Colonne 7 — Transferts vers des pays tiers

Si des données sont transférées hors de l’Union européenne ou de l’EEE, vous devez le mentionner et préciser le mécanisme de transfert utilisé : décision d’adéquation, clauses contractuelles types (CCT), règles d’entreprise contraignantes (BCR), ou autre.

Cette colonne est souvent négligée. Pourtant, l’utilisation de Google Analytics, AWS US-East, Mailchimp, Salesforce ou de tout outil SaaS américain implique quasi-systématiquement un transfert vers les États-Unis.

Colonne 8 — Durée de conservation

Indiquez la durée de conservation des données pour chaque traitement. C’est l’une des obligations les moins bien documentées en pratique. Consultez notre tableau des durées de conservation par secteur pour vous appuyer sur des références réglementaires précises.

Attention : la durée de conservation doit être distinguée de la durée d’archivage intermédiaire (données conservées pour des fins légales ou probatoires, avec accès restreint) et de la durée de vie en base active.

Colonne 9 — Mesures de sécurité (Art. 32)

Décrivez de façon synthétique les mesures techniques et organisationnelles appliquées : chiffrement, pseudonymisation, contrôle d’accès, sauvegardes, politiques de mot de passe, formation des équipes. Vous n’avez pas à entrer dans le détail technique ici — une ligne de 2-3 mesures clés suffit. Le détail figure dans votre PSSI (Politique de Sécurité des Systèmes d’Information).

Colonnes additionnelles recommandées (non obligatoires mais utiles)

• Numéro de fiche — pour indexer et référencer vos traitements
• Service responsable — qui dans l’organisation pilote ce traitement
• Date de création / dernière mise à jour — essentiel pour prouver que le registre est maintenu
• AIPD requise ? — case à cocher avec lien vers la fiche AIPD correspondante
• Statut de conformité — conforme / en cours / non conforme (usage interne)

Structure Excel : onglets recommandés

Un fichier Excel efficace pour un registre RGPD comprend généralement 3 onglets :

Onglet 1 — Registre RT (responsable de traitement) : la liste principale de tous vos traitements avec les colonnes décrites ci-dessus.

Onglet 2 — Registre ST (sous-traitant) : si vous traitez des données pour le compte de clients, cet onglet liste les traitements effectués en tant que sous-traitant, avec pour chaque traitement : le nom du RT, les catégories de traitements, les transferts et les mesures de sécurité (Art. 30(2)).

Onglet 3 — Sous-traitants : répertoire de tous vos sous-traitants (prestataires SaaS, hébergeurs, agences marketing, etc.) avec statut DPA (signé / en cours / absent), pays d’établissement et mécanisme de transfert le cas échéant.

Structure type d’une fiche de traitement

Voici comment rédiger une fiche pour un traitement courant — ici, la gestion de la newsletter :

Champ	Contenu
Nom du traitement	Newsletter marketing
Finalité	Communication commerciale et éditorial par email vers abonnés consentants
Base légale	Consentement — Art. 6(1)(a)
Personnes concernées	Abonnés newsletter (prospects et clients)
Catégories de données	Nom, prénom, email, historique d’ouverture/clic
Destinataires internes	Équipe marketing
Sous-traitants	Brevo (ESP) — DPA en place — hébergement UE
Transferts tiers	Aucun (Brevo hébergement EU)
Durée de conservation	Durée de l’abonnement + 3 ans après désinscription
Mesures de sécurité	Chiffrement TLS, accès restreint à l’équipe marketing, double opt-in
AIPD requise	Non
Dernière mise à jour	2026-04-01

Les erreurs les plus fréquentes

Après 20 ans de conseil en droit des données, les mêmes erreurs reviennent systématiquement dans les registres que j’audite.

Erreur 1 — Un registre qui liste des outils et non des traitements. « Salesforce », « HubSpot », « Slack » ne sont pas des traitements. Ce sont des outils. Derrière Salesforce, il peut y avoir 5 traitements distincts (gestion clients, prospection, support, partenaires, reporting). La fiche doit décrire la finalité, pas l’outil.

Erreur 2 — Les bases légales au hasard. Mettre « consentement » pour tous les traitements parce que c’est la base légale qu’on connaît est une erreur. La gestion de la paie repose sur une obligation légale (Art. 6(1)©). L’exécution d’un contrat de prestation repose sur l’Art. 6(1)(b). Le consentement est souvent la base légale la moins adaptée car la plus contraignante.

Erreur 3 — Les durées de conservation inexistantes. « Durée légale » n’est pas une durée. Chaque traitement doit avoir une durée précise, fondée sur une référence : 5 ans pour les documents comptables (Code de commerce), 2 ans pour les données de prospection B2B, 3 ans maximum pour les données de prospects non clients selon la délibération CNIL.

Erreur 4 — Les sous-traitants oubliés. La plupart des PME utilisent 20 à 50 outils SaaS traitant des données personnelles. Combien ont un DPA signé ? En pratique, moins de la moitié. Et pour ceux hébergés aux États-Unis, les transferts sont souvent documentés superficiellement.

Erreur 5 — Le registre créé une fois, jamais mis à jour. Un registre daté de 2018 ou 2021 est une preuve d’absence de processus de gouvernance. La CNIL n’attend pas un document parfait — elle attend un document vivant. Chaque nouveau traitement, chaque changement de sous-traitant, chaque modification substantielle doit se refléter dans le registre.

Erreur 6 — Confondre responsable de traitement et sous-traitant. Si vous traitez des données pour le compte d’un client (développeur, agence, hébergeur, intégrateur), vous êtes sous-traitant pour ces données — et vous avez un registre ST distinct à tenir.

Comment maintenir le registre à jour

La mise à jour du registre n’est pas un projet annuel — c’est un processus continu. En pratique, voici comment le structurer :

Déclencheurs de mise à jour obligatoire : tout nouveau traitement, tout changement de sous-traitant, tout changement de finalité ou de base légale, toute modification des durées de conservation, tout transfert vers un nouveau pays tiers.

Processus de revue annuelle : au minimum une fois par an, le DPO ou le référent RGPD audite l’intégralité du registre pour vérifier que chaque fiche est encore exacte et que les sous-traitants référencés ont bien leurs DPA à jour.

Responsabilité : désignez clairement qui, dans chaque service, est responsable de signaler les nouveaux traitements. Sans processus d’escalade, les traitements oubliés s’accumulent. Certaines organisations mettent en place un formulaire interne de déclaration de nouveau traitement, déclenché par les équipes IT et les chefs de projet.

Si vous avez désigné un DPO, c’est lui qui supervise la tenue du registre. S’il n’y a pas de DPO, le responsable juridique ou le dirigeant en assume la responsabilité directe.

Registre et AIPD : comment les deux s’articulent

Le registre et l’analyse d’impact (AIPD) sont deux documents complémentaires. Le registre recense tous les traitements ; l’AIPD analyse en détail les traitements à risque élevé.

La liste des types de traitements nécessitant une AIPD obligatoire est publiée par la CNIL (délibération du 11 octobre 2018). Elle comprend notamment : la surveillance systématique de personnes sur la voie publique, les traitements de données de santé à grande échelle, les systèmes de notation ou scoring des personnes, les décisions automatisées.

En pratique : pour chaque traitement de votre registre, évaluez si une AIPD est requise. Si oui, créez un lien entre la fiche registre et la fiche AIPD correspondante. Cette traçabilité est exactement ce que la CNIL vérifiera lors d’un contrôle sur la gouvernance des données.

Registre et mise en conformité : comment s’y mettre

Si vous partez de zéro, voici la séquence que je recommande dans le cadre d’une mise en conformité RGPD :

Étape 1 — Cartographie des données (2-4 semaines pour une PME). Interviewez chaque responsable de service : quelles données collectez-vous ? Dans quel outil ? Pour quel objectif ? Cette cartographie informelle alimentera le registre.

Étape 2 — Remplissage du registre. Créez une fiche par traitement identifié. Concentrez-vous sur les 10-15 traitements principaux avant de descendre dans les traitements secondaires.

Étape 3 — Qualification des bases légales. Pour chaque traitement, vérifiez que la base légale est correctement identifiée et documentée. C’est souvent là que les non-conformités apparaissent.

Étape 4 — Audit des sous-traitants. Pour chaque outil SaaS ou prestataire référencé, vérifiez la présence d’un DPA. Demandez les DPA manquants. Documentez les transferts hors UE et les mécanismes applicables.

Étape 5 — Identification des AIPD requises. Parcourez la liste CNIL et identifiez les traitements qui nécessitent une analyse d’impact.

---

Ce qu’il faut retenir

• Le registre des activités de traitement est obligatoire pour toute organisation traitant des données personnelles de façon régulière, quelle que soit sa taille (l’exemption Art. 30(5) pour les <250 salariés ne s’applique presque jamais en pratique).
• La structure minimale comprend : nom du traitement, finalité, base légale Art. 6, catégories de personnes et de données, destinataires, transferts hors UE, durée de conservation, mesures de sécurité.
• Les erreurs les plus fréquentes : confondre outil et traitement, bases légales approximatives, durées de conservation vides, sous-traitants sans DPA.
• Le registre est un document vivant : toute modification substantielle d’un traitement doit être répercutée immédiatement.
• Un registre incomplet ou non maintenu est l’une des premières causes de mise en demeure CNIL lors d’un contrôle sur place.

---

FAQ

Le registre des traitements doit-il être transmis à la CNIL ?

Non, vous n’avez pas à l’envoyer spontanément à la CNIL. En revanche, l’article 30(4) vous oblige à le mettre à disposition sur demande. En pratique, lors d’un contrôle CNIL (sur place ou sur pièces), c’est systématiquement l’un des premiers documents demandés. L’absence de registre ou un registre manifestement incomplet constitue une violation de l’obligation d’accountability de l’article 5(2).

Quelle est la différence entre registre RT et registre ST ?

Le registre RT (responsable de traitement) liste tous les traitements que vous effectuez pour vos propres finalités. Le registre ST (sous-traitant) liste les traitements que vous effectuez pour le compte de clients (responsables de traitement). Si vous êtes éditeur SaaS, agence web ou hébergeur, vous êtes sous-traitant pour les données de vos clients — et vous avez une obligation distincte de registre ST au titre de l’article 30(2).

Un registre Excel est-il suffisant ou faut-il un logiciel spécialisé ?

Un registre Excel est parfaitement valide sur le plan juridique. Ce qui compte, c’est l’exhaustivité, l’exactitude et la mise à jour régulière — pas le format. Cela dit, au-delà d’une certaine volumétrie (50+ traitements, plusieurs sites, DPO qui gère plusieurs entités), un outil dédié facilite la maintenance et les processus de mise à jour. C’est ce type de gestion que Legiscope automatise, avec notamment des alertes de mise à jour et une génération automatique des rapports de conformité.

Un registre RGPD doit-il être signé ou approuvé formellement ?

Aucune obligation formelle de signature dans le RGPD. Cependant, pour démontrer l’engagement de la direction (principe d’accountability), il est recommandé que le registre soit validé par le dirigeant ou le DPO, et que les mises à jour majeures fassent l’objet d’une traçabilité (version, date, auteur). Une gouvernance documentée est un signal fort lors d’un contrôle.

---

Vous souhaitez recevoir nos analyses hebdomadaires sur la conformité RGPD, les décisions CNIL et les évolutions réglementaires ? Inscrivez-vous à la newsletter donneespersonnelles.fr — gratuit, sans publicité, uniquement de la substance.