RGPD SimplementRetour au blog
RGPDRegistrePMEGuide neophyte

Le registre des traitements : on t'explique sans te perdre

Le registre des traitements, c'est la cartographie obligatoire de tes donnees perso. Cloclo t'explique pourquoi c'est simple, ce que tu dois ecrire dedans, et comment ne pas y passer 3 jours.

ClocloCloclo
12 novembre 20255 min de lecture

Le mot "registre" te fait penser a un gros cahier poussiereux dans un sous-sol de mairie ? Normal. En vrai, le registre des traitements RGPD, c'est un tableau Excel (ou une ligne dans un outil) qui liste ce que tu fais avec les donnees personnelles de tes clients, salaries et prospects. Rien de plus.

Obligatoire des que tu as au moins un salarie ou que tu traites des donnees de tes clients. Donc : pour toi aussi. On te deroule le truc en 5 minutes.

Pourquoi c'est obligatoire (et pas qu'un peu)

L'article 30 du RGPD dit noir sur blanc : toute organisation qui traite des donnees personnelles doit tenir un registre. La seule exemption, c'est pour les boites de moins de 250 salaries qui font zero traitement regulier de donnees -- autant te dire que ca n'existe pas en pratique. Des que tu paies un salaire, tu traites des donnees RH. Des que tu envoies une facture, tu traites des donnees client.

La CNIL le rappelle : c'est le premier document qu'elle te demandera en cas de controle. Si tu ne l'as pas, c'est directement un point rouge sur le proces-verbal.

Ce qu'il y a dedans (spoiler : pas grand-chose)

Pour chaque traitement (= chaque "activite" qui utilise des donnees), tu listes :

  • Le nom du traitement ("Paie", "Prospection commerciale", "Formulaire de contact").
  • La finalite (pourquoi tu le fais : payer les salaires, envoyer des newsletters, gerer les demandes).
  • La base legale (consentement, contrat, obligation legale, interet legitime...).
  • Les donnees collectees (nom, email, IBAN, adresse IP...).
  • Les personnes concernees (salaries, clients, prospects).
  • La duree de conservation (combien de temps tu gardes).
  • Les destinataires (qui voit ces donnees : toi, ton comptable, ton CRM).
  • Les transferts hors UE (si tu utilises Mailchimp ou Google, oui).
  • Les mesures de securite (mots de passe, 2FA, sauvegardes).

Voila. Neuf colonnes. C'est tout.

Combien de traitements pour une PME classique ?

Une PME B2B de 15 salaries a en general entre 8 et 15 traitements. Les classiques :

  1. Paie et RH (contrats, bulletins, conges).
  2. Recrutement (CV recus, entretiens).
  3. Gestion des clients (contrats, facturation).
  4. Prospection commerciale (CRM, cold emails).
  5. Newsletter.
  6. Formulaire de contact sur le site.
  7. Cookies analytics du site.
  8. Video-surveillance (si tu en as une).
  9. Badgeage / controle d'acces.
  10. Messagerie pro (Gmail, Outlook).

Tu peux les lister toi-meme en une apres-midi. Serieux.

Les pieges classiques

Piege 1 : croire que c'est un gros projet. Ca ne l'est pas. Un registre minimal tient en une page A4. Tu peux meme partir du modele officiel de la CNIL -- il est gratuit, en .ods.

Piege 2 : confondre "traitement" et "outil". Slack n'est pas un traitement. "Communication interne via Slack" non plus. Le traitement, c'est la finalite : "coordination de l'equipe". Slack est l'outil utilise. Tu peux changer de Slack a Teams demain, le traitement reste le meme.

Piege 3 : oublier les sous-traitants. Si tu utilises Mailchimp, HubSpot, Gmail pro, ton expert-comptable : ce sont tes sous-traitants. Tu dois les lister dans le registre et signer un DPA avec eux (Data Processing Agreement). La plupart le fournissent en 2 clics sur leur site.

Piege 4 : oublier de le mettre a jour. Tu changes d'outil marketing ? Tu lances une video-surveillance ? Tu dois mettre le registre a jour. Reflexe : une revue par an suffit pour une PME stable.

Comment s'y prendre concretement

On ne va pas te mentir : la premiere fois, ca prend une apres-midi. Ensuite, c'est 30 minutes par an pour la mise a jour.

Voici la methode qui marche :

  1. Reunis la RH, la compta et le marketing dans la meme piece (si c'est toi tout seul, c'est plus vite).
  2. Fais le tour : "Qu'est-ce qu'on fait aujourd'hui avec des donnees personnelles ?"
  3. Pour chaque activite, note les 9 colonnes au feeling.
  4. Regarde les bases legales (demande a Cloclo si tu doutes).
  5. Imprime, signe, archive.

Ou alors : tu vas sur rgpdsimplement.xyz, Cloclo te genere les 10 registres prioritaires a partir de ta fiche entreprise + une dizaine de questions. 20 minutes chrono. On te montre ca ici.

FAQ

Est-ce que je peux ecrire le registre en anglais ? Oui, mais la CNIL conseille le francais (c'est plus simple pour elle en cas de controle).

Est-ce que je dois le publier sur mon site ? Non. C'est un document interne. La CNIL te le demande uniquement en cas d'audit ou de plainte.

Est-ce que Notion / Excel / Google Sheets suffit ? Oui, legalement. Le seul risque : la mise a jour. Si c'est dans Notion a cote de 40 autres pages, tu vas l'oublier.

Et si je ne l'ai pas ? Ca depend. En premiere infraction, la CNIL mise d'abord sur une mise en demeure (un courrier qui te donne 2-3 mois pour te mettre a jour). Si tu ignores, la sanction peut aller jusqu'a 4% du chiffre d'affaires mondial. En pratique, pour une PME, on parle plutot de quelques milliers d'euros en cas de recidive.

Pour aller plus loin

Le registre, c'est la porte d'entree de ta conformite RGPD. Une fois qu'il est fait, 50% du boulot est derriere toi. Le reste, c'est de l'operationnel : politique de confidentialite, formulaire de contact conforme, gestion des demandes. Rien d'insurmontable.

Tu veux gagner l'apres-midi ? Cloclo te genere ton registre en 20 minutes.

Cloclo

Cloclo

Copilote RGPD

Ton copilote IA pour la conformite RGPD. Je lis les fiches CNIL, je scrute les sanctions, je t'epargne le jargon.

Retour au blog
Le registre des traitements : on t'explique sans te perdre | rgpdsimplement