• xdpo

Comment remplir le registre des traitements ?

Dernière mise à jour : 18 nov.




Selon les articles 5.2 du RGPD (principe d'auto-documentation - une des 10 règles d'or du RGPD - voir notre article sur le sujet) et 30 (Registre des activités de traitement) votre organisme doit tenir un registre des traitements de données personnelles qu'elle traite.


Le registre des traitements est une photographie à un instant T de vos activités de traitement des données personnelles.


Tous les guides (BpiFrance, CCI) vous conseillent de commencer par cette étape pour la mise en conformité mais sans donner de mode d'emploi.


Dans cet article, nous allons vous expliquer les quatre grandes étapes pour remplir votre Registre des Traitements:


1️⃣ Lister les grands activités de votre organisation

2️⃣ Recenser les logiciels et prestataires qui vous permettent de gérer ces activités

3️⃣ Pour chaque traitement, renseigner les règles d'or du RGPD

4️⃣ Mettre à jour




1️⃣Lister les grands activités de votre organisation


Dans un premier temps, vous devez chercher exclusivement les activités dans votre organisation qui traitent des données personnelles. C'est à dire que vous ne tiendrez pas compte des activités qui traitent de données anonymes ou qui concernent des entreprises, administration. En général vous allez chercher des activités qui traitent les données de vos clients (et par extension les administrés, usagers, adhérents, membres) ou celles de vos ressources humaines (les salariés, les agents, les stagiaires, les candidats)


Ensuite, faites une revue du cycle de vie des données que vous traitez. Par exemple pour vos salariés, ces activités concernent la gestion du recrutement, la gestion de la paie, la gestion administrative des ressources humaines, la gestion des contentieux RH ... Idem pour vos clients , ces activités concernent la communication, la gestion des prospects, la gestion des clients, la gestion des services aux clients, la gestion de la satisfaction client, logiciel spécifiques à votre métier...). Enfin, n'oubliez pas les activités liées à la gestion financière de votre organisation.


Vous avez listé les grands activités de votre organisation:


Gestion des ressources humaines

  • gestion des recrutement

  • gestion de la paie

Gestion des clients

  • gestion des mailing

  • gestion des clients

Gestion financière

  • gestion financière

  • Expert comptable


2️⃣Recenser les logiciels et prestataires qui vous permettent de gérer ces activités


Si vous avez listé vos activités, vous ne devriez pas avoir de mal à faire correspondre le logiciel ou le prestataire adéquat :


Gestion des ressources humaines

  • gestion des recrutement : cabinet x

  • gestion de la paie : Sage

Gestion des clients

  • gestion des mailing : Sendinblue

  • gestion des clients : Saleforce

Gestion financière

  • gestion financière : Sage

  • Expert comptable : Cabinet XY


A ce stade, vous devez noter pour les logiciels leur mode d'installation : installés sur vos serveurs ("on premise") ou accessible en cloud. En effet, si le logiciel est installé sur vos serveurs, l'éditeur n'est pas sous-traitant de données personnelles au sens du RGPD (c'est votre organisation qui établit les moyens et finalités du traitement) alors que si le logiciel est en cloud, c'est un sous-traitant de données personnelles (vous lui confiez des données personnelles) et vous devrez lui demander des garanties écrites et des mesures mises en place pour protéger les données que vous lui avez confiées ou plutôt que vos clients ou salariés vous ont confiées !


A ce sujet consutez notre article de blog pour évaluer la conformité RGPD de votre logiciel d'emailing.


3️⃣Pour chaque traitement, renseigner les règles d'or


Nous l'avons vu dans ce précédent article, les règles du RGPD sont assez claires pour garantir la conformité d'un traitement.

Il faut maintenant renseigner ces informations ou organiser en interne une décision pour les renseigner.

Les informations à renseigner sont :

  1. Quelles sont les mesures de sécurité que nous avons prises pour garantir la conformité, l’intégrité et la disponibilité des données ?

  2. Si nous sous-traitons le traitement des données (avec un logiciel en cloud par exemple), quels sont les engagements écrits que mon sous-traitant a pris ?

  3. Quelle est la base légale parmi les six suivantes : le consentement, le contrat, l’intérêt légitime, l’obligation légale, la mission d’intérêt public, la préservation des intérêts vitaux. « Lire l’article 6 du RGPD »

  4. Quelle est la finalité, l'objectif déterminé, explicite et légitime ? « Lire l’article 5 du RGPD »

  5. Quels sont les éléments d'information de la personne : avons-nous informé la personne des éléments ci-dessus, de la nature de leurs droits et de leurs possibilités de recours?

  6. les données traitées sont elle "à risques"? "sensibles"? Si oui, quelles sont ces données?

  7. Combien de temps nous engageons nous à détenir ces données? Sur le sujet de la durée de conservation vous pouvez consulter notre article

Par exemple, pour une activité "gestion des ressources humaines", le traitement "gestion de la paie", vous pouvez saisir les données suivantes :

  • Logiciel : Sage 100 paie et RH

  • Editeur : Sage

  • Mesures de sécurité : accès par login et mot de passe : les mesures de sécurité prises par l'éditeur sont consultables sur son site

  • Base légale : exécution d'un contrat (le contrat de travail en l'occurrence)

  • Finalité : éditer la feuille de paie du salarié

  • Information de la personne : article RGPD dans son contrat de travail

  • Données à risque : oui, le NIR

  • Durée de conservation : 5 ans après le départ du salarié

... et vous répétez cet exercice pour chaque traitement de données


4️⃣Mettre à jour


La conformité RGPD est une démarche d'amélioration continue et il est essentiel de cartographier vos traitements en rédigeant le registre des traitements dès que possible. Même si vous n'avez pas toutes les réponses

(par exemple, pour les durées de conservation, vous devez statuer sur une durée pour chaque traitement et ensuite, la mettre en application : il y aura forcément un délai entre la décision, la formalisation dans le registre et enfin la mise en œuvre opérationnelle )


Le registre des traitements est une photo à l'instant T de vos activités de traitement de données personnelles, il peut être incomplet à ce moment et doit être révisé régulièrement : nous vous conseillons de réviser le registre au minimum tous les ans.


En conclusion, le registre des traitements est un document central de votre conformité RGPD, il faut le rédiger mais en commençant par le recensement des logiciels et des prestataires.


xDPO a réalisé plus de 50 Registre des Traitements, nous avons des outils d'automatisation de rédaction : contactez-nous pour vous aider à passer cette étape !



Les internautes ont aussi consulté dans le Blog:


Quelles sont les règles d'or du RGPD?

Comment réaliser une analyse d impact relative à la protection des données (AIPD)

Votre logiciel d’emailing est-il conforme au RGPD ?

Comment mettre son site internet en conformité avec le RGPD?


Mise à jour le 22/09/2022



91 vues0 commentaire