Guides & Ressources pratiques
Provision pour congés payés : calcul, méthodes et obligations en 2026
Modèle de registre RGPD 2026 (Word/Excel) + mode d'emploi commenté
Points clés de l'article
- Le registre RGPD est obligatoire pour toute organisation traitant des données personnelles de manière non occasionnelle, quelle que soit sa taille.
- L'article 30 du RGPD impose 2 registres distincts : un pour le responsable de traitement, un pour le sous-traitant.
- Chaque fiche du registre doit documenter la finalité, les catégories de données, les destinataires, les durées de conservation et les mesures de sécurité.
- La CNIL contrôle en priorité l'existence, la complétude et la mise à jour effective du registre.
- Un modèle standard ne couvre pas les traitements à risque, les transferts hors UE complexes ou les analyses d'impact (AIPD), qui nécessitent un accompagnement juridique dédié.
Besoin d'un juriste freelance ou d'un avocat ?
Accédez en -24h à un avocat d'affaires sélectionné parmi les meilleurs, à des honoraires maîtrisés.
✓ 250+ spécialistes✓ 500+ clients satisfaits✓ -30 à -50% moins cher qu'un cabinet
Sommaire
Finalité du registre RGPD : à quoi sert ce document et quand il est obligatoire ?
Cadre juridique : article 30 du RGPD et dérogation pour les structures de moins de 250 salariés
Structure du modèle : organisation du registre responsable de traitement et registre sous-traitant
Mentions obligatoires et options : informations imposées par la CNIL et clauses facultatives utiles
Mode d'emploi : compléter le registre fiche par fiche avec un exemple rempli
Limites et erreurs fréquentes : cas où le modèle ne suffit pas et oublis observés en contrôle CNIL
Finalité du registre RGPD : à quoi sert ce document et quand il est obligatoire ?
Le registre des activités de traitement est la pièce centrale de la conformité RGPD. Il recense, fiche par fiche, l'ensemble des opérations réalisées sur des données personnelles au sein d'une organisation : collecte de données clients, gestion de la paie, vidéosurveillance, prospection commerciale, suivi des candidatures.
Sa fonction est double. D'une part, il constitue la preuve documentaire de conformité exigée par la CNIL lors d'un contrôle. D'autre part, il sert d'outil de pilotage interne : il permet à la direction juridique de cartographier les flux de données, d'identifier les traitements sensibles et de prioriser les actions correctives.
Le registre RGPD est obligatoire pour toute organisation, publique ou privée, dès lors qu'elle traite des données personnelles de manière non occasionnelle. En pratique, cela concerne la quasi-totalité des entreprises. La CNIL a précisé dans ses lignes directrices de 2023 que même une PME de 15 salariés disposant d'un fichier clients ou d'un logiciel de paie entre dans le champ de cette obligation. Ne pas disposer de ce document expose à une sanction pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial, selon le montant le plus élevé (article 83§4 du RGPD).
Cadre juridique : article 30 du RGPD et dérogation pour les structures de moins de 250 salariés
L'article 30 du RGPD fixe le contenu minimal du registre. Il distingue 2 situations : celle du responsable de traitement (l'entité qui détermine les finalités et les moyens du traitement) et celle du sous-traitant (l'entité qui traite des données pour le compte d'un responsable).
La dérogation prévue au paragraphe 5 de l'article 30 concerne les organisations de moins de 250 salariés. Elle les dispense de documenter les traitements qui remplissent simultanément 3 conditions : caractère occasionnel, absence de données sensibles et absence de risque pour les droits des personnes. En réalité, cette dérogation a une portée très limitée. Dès qu'une entreprise gère un fichier RH, un CRM ou des cookies de suivi, le traitement est considéré comme non occasionnel. La CNIL recommande donc à toutes les structures, y compris celles de moins de 250 salariés, de tenir un registre complet.
| Critère | Obligation de registre | Dérogation possible |
|---|---|---|
| Entreprise ≥ 250 salariés | Oui, sans exception | Non |
| Entreprise < 250 salariés, traitement non occasionnel (paie, CRM, vidéosurveillance) | Oui | Non |
| Entreprise < 250 salariés, traitement strictement occasionnel, sans données sensibles | Non | Oui (article 30§5) |
| Sous-traitant, quelle que soit la taille | Oui, pour les traitements réalisés pour le compte de ses clients | Non |
La conformité à l'article 30 suppose une cartographie précise des traitements, adaptée à chaque organisation.
Consulter un avocat en protection des données
Structure du modèle : organisation du registre responsable de traitement et registre sous-traitant
Le modèle proposé se compose de 2 fichiers distincts, conformément à la logique de l'article 30.
Registre du responsable de traitement
Ce fichier regroupe une fiche par traitement. Chaque fiche correspond à une finalité identifiée : gestion des recrutements, suivi des contrats clients, gestion de la comptabilité fournisseurs, etc. Le fichier Excel comporte un onglet par fiche, avec des champs pré-remplis et des menus déroulants pour standardiser les réponses.
Registre du sous-traitant
Ce second fichier recense les traitements réalisés pour le compte de tiers. Il est structuré par client donneur d'ordre. Chaque fiche identifie le responsable de traitement concerné, les catégories de données traitées, les sous-traitants ultérieurs éventuels et les mesures de sécurité mises en œuvre.
La version Word permet une rédaction libre, adaptée aux organisations qui préfèrent un format narratif. La version Excel offre des fonctions de tri, de filtrage et de suivi des mises à jour par date. Les 2 formats sont complémentaires : le Word sert de support de présentation lors d'un contrôle CNIL, l'Excel sert d'outil de gestion au quotidien.
Mentions obligatoires et options : informations imposées par la CNIL et clauses facultatives utiles
L'article 30 impose un socle de mentions obligatoires pour chaque fiche de traitement. Le tableau ci-dessous distingue ces mentions des informations facultatives mais recommandées par la CNIL.
| Mention | Obligatoire (art. 30) | Facultative mais recommandée |
|---|---|---|
| Nom et coordonnées du responsable de traitement | ✅ | — |
| Nom du DPO (si désigné) | ✅ | — |
| Finalité du traitement | ✅ | — |
| Catégories de personnes concernées | ✅ | — |
| Catégories de données personnelles | ✅ | — |
| Catégories de destinataires | ✅ | — |
| Transferts hors UE (pays + garanties) | ✅ | — |
| Durées de conservation prévues | ✅ | — |
| Description des mesures de sécurité techniques et organisationnelles | ✅ | — |
| Base légale du traitement (consentement, contrat, obligation légale, intérêt légitime) | — | ✅ |
| Référence à l'analyse d'impact (AIPD) si réalisée | — | ✅ |
| Date de dernière mise à jour de la fiche | — | ✅ |
| Service interne responsable du traitement | — | ✅ |
La base légale, bien que non exigée par l'article 30, est systématiquement vérifiée par la CNIL lors des contrôles. L'intégrer directement dans le registre évite de devoir la reconstituer dans l'urgence. De même, la date de mise à jour permet de démontrer que le registre est un document vivant, et non un exercice ponctuel.
Identifier la base légale de chaque traitement et structurer les transferts hors UE nécessite souvent une analyse juridique ciblée.
Échanger avec un avocat spécialisé en protection des données
Mode d'emploi : compléter le registre fiche par fiche avec un exemple rempli
La méthode recommandée consiste à procéder en 4 étapes pour chaque fiche.
Étape 1 — Identifier le traitement. Nommer la finalité de manière précise. Éviter les intitulés vagues comme "gestion administrative". Préférer "gestion des contrats de travail des salariés en CDI et CDD".
Étape 2 — Recenser les données collectées. Lister les catégories de données : état civil, coordonnées, données bancaires, données de santé le cas échéant. Préciser si des données sensibles au sens de l'article 9 du RGPD sont concernées (origine ethnique, opinions politiques, données biométriques, données de santé).
Étape 3 — Documenter les flux. Identifier les destinataires internes (service RH, direction financière) et externes (prestataire de paie, organisme de formation, URSSAF). Indiquer si des données sont transférées hors de l'Union européenne, et sur quelle base juridique (clauses contractuelles types, décision d'adéquation).
Étape 4 — Fixer les durées et les mesures de sécurité. Appliquer les référentiels de durée de conservation publiés par la CNIL. Par exemple : 5 ans après la fin du contrat de travail pour les bulletins de paie, 3 ans après le dernier contact pour les données de prospection commerciale. Décrire les mesures de sécurité : chiffrement, contrôle d'accès par profil, journalisation des accès.
Exemple de fiche remplie : gestion de la paie
- Finalité : calcul, édition et archivage des bulletins de paie
- Base légale : obligation légale (Code du travail, articles L3243-1 et suivants)
- Personnes concernées : salariés en CDI, CDD et alternants
- Catégories de données : état civil, numéro de sécurité sociale, coordonnées bancaires, données relatives à la rémunération
- Destinataires : service RH, prestataire de paie externalisé (sous-traitant), URSSAF, administration fiscale
- Transfert hors UE : non
- Durée de conservation : 5 ans en base active après la fin du contrat, puis archivage intermédiaire jusqu'à prescription légale
- Mesures de sécurité : accès restreint au service RH et au prestataire, chiffrement des fichiers transmis, journalisation des accès
Limites et erreurs fréquentes : cas où le modèle ne suffit pas et oublis observés en contrôle CNIL
Un modèle standard couvre les traitements courants d'une entreprise. Il ne remplace pas une analyse juridique approfondie dans plusieurs situations.
Traitements à risque nécessitant une AIPD. Lorsqu'un traitement implique un profilage à grande échelle, une surveillance systématique de zones accessibles au public ou un traitement massif de données sensibles, l'article 35 du RGPD impose une analyse d'impact sur la protection des données. Le registre documente l'existence de cette analyse, mais ne la remplace pas.
Transferts hors UE complexes. Depuis l'invalidation du Privacy Shield par la CJUE en 2020 (arrêt Schrems II), les transferts vers les États-Unis reposent sur les clauses contractuelles types adoptées par la Commission européenne en juin 2021, complétées par une évaluation au cas par cas du niveau de protection du pays destinataire. Le modèle de registre ne peut pas intégrer cette évaluation, qui relève d'une analyse juridique spécifique.
Erreurs fréquentes constatées lors des contrôles CNIL :
- Registre figé : document rédigé une seule fois, jamais mis à jour. La CNIL vérifie systématiquement la date de dernière modification.
- Finalités trop vagues : "gestion commerciale" ou "amélioration des services" ne constituent pas des finalités conformes. Chaque traitement doit être décrit avec précision.
- Durées de conservation absentes ou génériques : indiquer "durée nécessaire" sans référence à un texte ou à un référentiel CNIL est insuffisant.
- Mesures de sécurité non décrites : mentionner "mesures appropriées" sans détailler les dispositifs techniques (chiffrement, pare-feu, gestion des habilitations) ne satisfait pas l'exigence de l'article 30.
- Sous-traitants non identifiés : omettre un prestataire cloud, un outil SaaS ou un hébergeur constitue une lacune fréquente, en particulier lorsque ces prestataires sont situés hors de l'UE.
Anticiper un contrôle CNIL suppose de vérifier la conformité du registre au regard des exigences réelles de l'autorité, au-delà du modèle type.
Faire auditer son registre par un avocat en protection des données
FAQ
Le registre RGPD doit-il être transmis à la CNIL de manière proactive ?
Non. Le registre n'a pas à être déposé auprès de la CNIL. Il doit être tenu à disposition et présenté sur demande lors d'un contrôle. La CNIL peut le demander sur place, par courrier ou dans le cadre d'un contrôle en ligne.
Qui est responsable de la tenue du registre dans l'entreprise ?
Le responsable de traitement — c'est-à-dire l'entité juridique elle-même — porte la responsabilité légale. En pratique, la direction juridique ou le DPO coordonne la rédaction et la mise à jour. Chaque service opérationnel (RH, marketing, IT) fournit les informations relatives à ses propres traitements.
À quelle fréquence faut-il mettre à jour le registre ?
Le RGPD n'impose pas de fréquence précise. La CNIL recommande une revue au moins annuelle, et une mise à jour immédiate à chaque nouveau traitement, modification d'un traitement existant ou changement de sous-traitant. Un registre non mis à jour depuis plus de 12 mois constitue un signal d'alerte lors d'un contrôle.
Le registre remplace-t-il l'analyse d'impact (AIPD) ?
Non. Le registre et l'AIPD sont 2 documents distincts. Le registre recense tous les traitements. L'AIPD, exigée par l'article 35 du RGPD, évalue les risques spécifiques d'un traitement susceptible d'engendrer un risque élevé pour les droits des personnes. Le registre mentionne l'existence d'une AIPD, mais ne la remplace pas.
Un modèle Excel ou Word suffit-il pour être conforme ?
Un modèle correctement renseigné et régulièrement mis à jour suffit pour la majorité des traitements courants. En revanche, les traitements complexes (profilage, données de santé à grande échelle, transferts hors UE multiples) nécessitent une analyse juridique complémentaire que le modèle seul ne peut pas couvrir.
Pour aller plus loin
Le registre des activités de traitement - CNIL
Modèle de registre simplifié RGPD - CNIL
SWIM LEGAL est une alternative au cabinet d’avocats traditionnel pour les besoins juridiques des entreprises. Incubé par le Barreau de Paris, SWIM a reçu le Prix de l’Innovation pour sa solution permettant à toute entreprise, quelle que soit sa taille ou sa localisation, d’accéder rapidement via la plateforme à des avocats d’affaires expérimentés. Les entreprises peuvent déposer leur besoin — qu’il s’agisse d’un dossier, d’une consultation ou d’un renfort temporaire — de manière confidentielle et recevoir des propositions d’avocats pour répondre rapidement à leur demande.
