Le règlement général sur la protection des données (RGPD) impose à toute organisation traitant des données personnelles de tenir un registre des activités de traitement. Loin d'être une simple formalité administrative, ce registre est la colonne vertébrale de votre conformité. Il matérialise votre capacité à rendre des comptes — ce que le RGPD appelle le principe d'accountability. Voici pourquoi sa construction rigoureuse est un investissement stratégique, et comment le mener à bien.
Qu'est-ce que le registre des traitements ?
Prévu à l'article 30 du RGPD, le registre des activités de traitement est un document interne qui recense l'ensemble des opérations par lesquelles votre organisation collecte, utilise, stocke, partage ou supprime des données personnelles.
Il est obligatoire pour :
- Toute organisation de plus de 250 salariés
- Toute organisation — quelle que soit sa taille — dont les traitements sont susceptibles d'engendrer un risque pour les droits et libertés des personnes, ou qui traitent des données sensibles (santé, opinions politiques, données biométriques…)
En pratique, la quasi-totalité des collectivités territoriales et des acteurs publics sont concernés, souvent doublement : à la fois comme responsable de traitement (ils définissent les finalités) et parfois comme sous-traitant (ils traitent des données pour le compte d'un tiers).
Identifier tous les traitements : une cartographie sans angle mort
La première étape — et la plus chronophage — consiste à recenser exhaustivement tous les processus impliquant des données personnelles. Cette cartographie doit couvrir l'intégralité des directions, services et systèmes de l'organisation.
Les sources à explorer méthodiquement :
- Les applications et logiciels métiers : RH, paie, gestion des usagers, vidéosurveillance, contrôle d'accès, systèmes de billetterie, outils de messagerie…
- Les formulaires : papier et numériques (formulaires de contact, inscriptions, demandes de subvention…)
- Les fichiers bureautiques : tableurs Excel, bases de données Access, listes de diffusion souvent maintenues « dans l'ombre »
- Les prestataires et sous-traitants : chaque contrat avec un tiers qui accède à des données personnelles constitue potentiellement un traitement à recenser
- Les échanges par e-mail : des listes de contacts, des CV en recrutement, des données médicales transmises par mail peuvent constituer des traitements non formalisés
Cette phase de découverte nécessite des entretiens avec les responsables de chaque service. Elle révèle souvent des traitements « fantômes » — des bases de données maintenues localement, des pratiques informelles jamais documentées — qui représentent des risques juridiques réels.
Détailler les données traitées : la granularité est une vertu
Pour chaque traitement identifié, il convient de décrire précisément les catégories de données collectées. Cette description doit être suffisamment précise pour être opérationnelle, sans nécessairement lister chaque champ de formulaire.
On distinguera notamment :
- Les données d'identification : nom, prénom, date de naissance, numéro de sécurité sociale
- Les données de contact : adresse postale, e-mail, numéro de téléphone
- Les données économiques et financières : coordonnées bancaires, revenus, situations d'endettement
- Les données de localisation et de déplacement : adresses IP, données GPS, historiques de badgeage
- Les données sensibles (article 9 RGPD) : données de santé, origine ethnique, convictions religieuses, données biométriques — soumises à un régime de protection renforcé
La précision de cette inventaire conditionne directement la pertinence de l'analyse de risques qui suivra. Un traitement qui collecte « toutes sortes de données » sans distinction est un signal d'alarme.
Documenter les finalités : pourquoi traite-t-on ces données ?
Le RGPD repose sur le principe de limitation des finalités : les données ne peuvent être collectées que pour des objectifs déterminés, explicites et légitimes. La finalité doit être définie avant la collecte — pas après.
Pour chaque traitement, le registre doit indiquer :
- La finalité principale : gestion de la paie, instruction des demandes d'aides sociales, gestion des accès aux équipements, vidéoprotection de la voie publique…
- La base légale du traitement, parmi les six prévues par l'article 6 du RGPD : obligation légale, mission d'intérêt public, exécution d'un contrat, intérêt légitime, consentement, sauvegarde des intérêts vitaux
- La ou les personnes concernées : agents, usagers, prestataires, élus…
La base légale est souvent mal renseignée dans les registres. Pour les collectivités, la majorité des traitements repose sur l'obligation légale ou la mission d'intérêt public — mais encore faut-il identifier le texte légal fondateur précis. « Parce que c'est utile » n'est pas une base légale.
Définir les durées de conservation : la donnée a une date de péremption
Conserver des données plus longtemps que nécessaire est une violation du RGPD, même si la collecte initiale était licite. Le registre doit donc mentionner, pour chaque traitement, une durée de conservation précise — ou du moins un critère permettant de la déterminer.
Les durées de conservation s'articulent en trois phases :
- Conservation active : la donnée est nécessaire au traitement courant et accessible par les utilisateurs habilités
- Archivage intermédiaire : la donnée n'est plus utilisée au quotidien mais doit être conservée pour des raisons légales ou contentieuses (prescriptions, recours…)
- Purge définitive : la donnée est supprimée ou anonymisée de façon irréversible
Des référentiels existent pour guider ces choix : les recommandations de la CNIL, les obligations légales sectorielles (Code du travail pour les données RH, Code général des collectivités territoriales, instructions de tri et de conservation des Archives de France pour les données publiques). Ces durées doivent être implémentées dans les systèmes — une durée de conservation inscrite dans un registre mais jamais appliquée techniquement n'a aucune valeur.
Documenter les transferts de données
Le registre doit également recenser les destinataires des données — qu'il s'agisse de services internes, de prestataires, ou d'organismes tiers — ainsi que les éventuels transferts hors Union européenne.
Points de vigilance :
- Les sous-traitants doivent être liés par un contrat incluant les clauses obligatoires de l'article 28 RGPD. Chaque sous-traitant doit figurer dans le registre avec la nature du traitement qu'il réalise pour votre compte.
- Les transferts hors UE — vers des pays qui n'assurent pas un niveau de protection adéquat — nécessitent des garanties spécifiques : clauses contractuelles types (CCT) approuvées par la Commission européenne, règles d'entreprise contraignantes (BCR), ou décision d'adéquation. L'utilisation de solutions cloud américaines (AWS, Google Cloud, Microsoft Azure) implique souvent de tels transferts et doit être documentée.
- Les accès distants des prestataires de maintenance constituent également des transferts à encadrer contractuellement.
Le registre comme outil vivant
Le registre des traitements n'est pas un document qu'on rédige une fois pour le ranger dans un tiroir. Il doit être mis à jour à chaque modification significative d'un traitement : changement de logiciel, extension à de nouvelles catégories de personnes concernées, nouveau sous-traitant, évolution des durées de conservation.
Concrètement, cela implique de :
- Intégrer la mise à jour du registre dans les processus de gestion de projets (tout nouveau système d'information doit faire l'objet d'une fiche de traitement avant sa mise en production)
- Désigner clairement les référents par direction, chargés d'alimenter le registre dans leur périmètre
- Programmer des revues annuelles pour vérifier la cohérence entre les traitements déclarés et les pratiques réelles
- Articuler le registre avec les autres outils de conformité : analyse d'impact (AIPD/PIA) pour les traitements à risque, politique de gestion des violations de données
Un registre bien tenu est votre meilleur argument en cas de contrôle de la CNIL. Il démontre que votre organisation ne subit pas sa conformité mais la pilote activement — ce qui est précisément l'esprit du RGPD.
