Véritable outil de pilotage de la conformité de son organisme, chaque responsable de traitement doit posséder un registre des activités de traitement effectuées sous sa responsabilité.

Il est également exigé de tenir un registre des catégories d’activités de traitement : il s’agit des activités effectuées par le responsable de traitement mais en tant que sous-traitant cette fois.

Le registre de traitement n’est pas obligatoire pour les organismes de moins de 250 salariés sauf si :

• Les traitements effectués sont susceptibles de comporter un risque pour les personnes concernées
• Les traitements effectués ne sont pas occasionnels
• Les traitements effectués portent sur des catégories particulières de données

Obligatoire ou non, il semble pertinent d’en tenir un dans tous les cas : cela permet d’avoir une vision d’ensemble des traitements menés par l’organisme, et de mieux piloter sa conformité.

Présenté sous forme de fiches de registre pour chaque activité de traitement, le registre permet donc de documenter l’ensemble des traitements de données. Aucune forme précise n’est imposée par la règlementation, le tout est d’avoir un registre écrit (papier ou électronique) reprenant les mentions obligatoires (l’article 30 du Règlement général sur la protection des données dresse la liste des mentions). 

Bonne pratique : en cas de recours à un registre de traitement commun à plusieurs organismes, il faut veiller à bien identifier qui est le responsable de chaque traitement. La CNIL a récemment retenu un manquement à l’obligation de tenir un registre pour une société qui tenait un registre commun avec une société rachetée, car il n’était pas possible d’identifier clairement les traitements effectués par l’une ou l’autre des sociétés.

• Article 30 Règlement général sur la protection des données – RGPD
• Modèle de registre de traitements de la CNIL
• Délibération SAN-2023-025 du 29 décembre 2023 concernant la société TAGADAMEDIA

Version mise à jour le 02 juillet 2024