Modèle de Registre des Traitements RGPD Gratuit
Un registre des activités de traitement conforme à l’article 30 du Règlement (UE) 2016/679 (RGPD). Pièce centrale de votre conformité, à tenir à disposition de la CNIL.
Siège social : 15 rue de la Paix, 75002 Paris
SIRET : 123 456 789 00012
Secteur d'activité : Services numériques
Représentant légal : M. Jean Dupont, Gérant
Téléphone : +33 1 23 45 67 89
Email : contact@dupont-consulting.fr
Délégué à la Protection des Données (DPO) : Mme Marie Martin — dpo@dupont-consulting.fr — +33 1 23 45 67 90
Finalité(s) : Gestion administrative du personnel, paie, évaluation, formation professionnelle
Base légale : Obligation légale (art. 6.1.c)
Personnes concernées : Salariés, candidats à l'embauche, stagiaires, intérimaires
Catégories de données : État civil (nom, prénom, date de naissance), coordonnées (adresse, téléphone, email), données professionnelles (poste, qualification, rémunération), numéro de sécurité sociale
Destinataires : Service RH, service comptabilité, direction générale / URSSAF, caisses de retraite, mutuelles, médecine du travail
Transferts hors UE/EEE : Aucun transfert hors UE/EEE
Durée de conservation : Durée du contrat de travail + 5 ans après le départ du salarié. Bulletins de paie : 5 ans
Mesures de sécurité : Chiffrement des données au repos et en transit (AES-256, TLS 1.3), contrôle d'accès par authentification forte (MFA), journalisation des accès
Logiciel / application : PayFit
Service responsable : Direction des Ressources Humaines
Données sensibles (art. 9 RGPD) : Données de santé (médecine du travail)
Source des données : Collecte directe auprès des personnes concernées
Destinataires internes : Service RH, service comptabilité, direction générale
Destinataires externes : URSSAF, caisses de retraite, mutuelles, médecine du travail
Sous-traitants (art. 28) : Prestataire de paie (PayFit), hébergeur cloud (OVH)
Sort des données à l'expiration : Suppression définitive
Mesures organisationnelles : Politique de gestion des habilitations, formation annuelle du personnel, clause de confidentialité dans les contrats de travail
Droits des personnes : Droit d'accès, de rectification, d'effacement, de limitation, de portabilité, d'opposition. Exercice auprès du DPO par email à dpo@dupont-consulting.fr
Le présent registre est tenu à jour et reflète l'ensemble des traitements de données à caractère personnel mis en œuvre par l'organisme.
Date de dernière mise à jour : 15 avril 2025
Responsable du registre : M. Jean Dupont, Gérant
Qu’est-ce que le registre des traitements ?
Le registre des activités de traitement est le document dans lequel une organisation recense et décrit l’ensemble de ses traitements de données à caractère personnel. Il est imposé par l’article 30 du Règlement (UE) 2016/679 (RGPD), qui distingue le registre tenu par le responsable de traitement (article 30.1) et celui tenu par le sous-traitant (article 30.2).
L’obligation concerne la plupart des organisations, à quelques exceptions près. L’article 30.5 du RGPD dispense les entreprises de moins de 250 salariés, sauf si leurs traitements sont susceptibles de comporter un risque pour les droits et libertés, ne sont pas occasionnels, ou portent sur des catégories particulières de données (santé, opinions, orientation sexuelle, origines) ou sur des infractions pénales.
Le registre doit être tenu à disposition de la CNIL à tout moment (article 30.4 du RGPD). Il sert de pièce centrale lors des contrôles et démontre la mise en œuvre de l’obligation de responsabilité (accountability) prévue par l’article 5.2 du RGPD. Il est également utile en interne pour piloter la conformité, identifier les risques et mettre à jour la politique de confidentialité.
Ce que contient ce modèle
Le modèle Doxuno couvre toutes les rubriques imposées par l’article 30 du RGPD.
Identification du responsable
Dénomination, SIRET, DPO le cas échéant
Identification du traitement
Nom, numéro, service responsable
Finalités du traitement
Objectifs poursuivis par la collecte
Catégories de personnes
Clients, salariés, prospects, visiteurs
Catégories de données
Identité, contact, financier, santé, etc.
Catégories de destinataires
Sous-traitants, partenaires, autorités
Transferts hors UE
Pays, garanties prévues (CCT, BCR)
Durées de conservation
Active, archivage intermédiaire, effacement
Mesures de sécurité
Techniques et organisationnelles (article 32)
Comment tenir votre registre
Le modèle Doxuno vous guide à travers chaque rubrique de l’article 30.
- 1
Identifiez le responsable et le DPO
Renseignez la dénomination, le SIRET, l’adresse, le représentant légal et les coordonnées du délégué à la protection des données (DPO) si vous en avez désigné un (article 37 du RGPD).
- 2
Cartographiez vos traitements
Identifiez chaque traitement distinct : gestion clients, gestion RH, prospection, recrutement, badges et vidéosurveillance, newsletter. Attribuez-lui un nom, un numéro et désignez le service responsable.
- 3
Décrivez chaque traitement
Pour chaque traitement, précisez la finalité, la base légale, les catégories de personnes concernées, les catégories de données collectées et les catégories de destinataires (internes et externes).
- 4
Documentez les durées et transferts
Indiquez la durée de conservation en base active, la durée d’archivage intermédiaire éventuelle et les modalités d’effacement. Si des données sont transférées hors UE, précisez le pays et les garanties prévues (CCT, BCR, décision d’adéquation).
- 5
Renseignez les mesures de sécurité
Listez les mesures techniques (chiffrement, pseudonymisation, sauvegarde) et organisationnelles (habilitations, formation, procédures d’incident) mises en œuvre conformément à l’article 32 du RGPD. Actualisez le registre à chaque évolution.
Considérations juridiques
Le registre est une pièce centrale de la conformité RGPD : son absence ou sa mauvaise tenue est lourdement sanctionnée.
Ce modèle est fourni à titre informatif et ne constitue pas un conseil juridique. Pour les traitements complexes, à grande échelle ou portant sur des données sensibles, consultez un DPO ou un avocat spécialisé.
Vérifié par des professionnels du droit. Les clauses de ce modèle ont été relues par des avocats exerçant en France afin d’en garantir la conformité à l’article 30 du Règlement (UE) 2016/679 (RGPD) et aux lignes directrices CNIL.
Obligation légale : article 30 du RGPD
L’article 30 du Règlement (UE) 2016/679 (RGPD) impose la tenue d’un registre des activités de traitement. L’article 30.1 liste les mentions obligatoires pour le responsable de traitement : coordonnées, finalités, catégories de personnes et de données, destinataires, transferts, durées, mesures de sécurité. L’article 30.2 liste les mentions pour le sous-traitant.
Exemption limitée : article 30.5
L’article 30.5 du RGPD exempte les organisations de moins de 250 salariés. Cette exemption tombe dès lors que le traitement est susceptible de comporter un risque pour les droits et libertés, n’est pas occasionnel, ou porte sur des catégories particulières de données (article 9) ou des données relatives à des condamnations pénales (article 10). En pratique, presque toutes les entreprises sont concernées.
Sanctions en cas d’absence de registre
L’absence ou la mauvaise tenue du registre est passible d’une amende administrative pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial annuel, selon le montant le plus élevé (article 83.4 du RGPD). La CNIL a déjà prononcé des sanctions sur ce fondement, notamment combinées avec d’autres manquements.
Questions fréquentes
Prêt à tenir votre registre RGPD ?
Créez et maintenez votre registre des traitements en quelques minutes. Modèle gratuit, conforme à l’article 30 du RGPD, téléchargeable en PDF.
Gratuit · PDF instantané · Aucun compte requis