RGPD exemple : modèles et documents de conformité CNIL

News

Retrouvez-nous au Congrès des Juristes d'entreprise le 30 et 31 mars

S’inscrire en tant qu’avocat

Se connecter

Compliance et éthique

Droit de l'énergie

Environnement & ESG

Technologie et numérique

Propriété intellectuelle

Construction

Blog

RGPD exemple : modèles, documents et fiches de conformité à télécharger

Guides & Ressources pratiques

01 Mar 2026

min

Copied

Points clés de l'article

La CNIL met à disposition des modèles officiels gratuits (registre, AIPD, mentions d'information) qui constituent la base documentaire de toute mise en conformité RGPD.
Le registre des activités de traitement est le document pivot : il recense chaque traitement avec sa finalité, sa base légale, ses destinataires et ses durées de conservation.
Les mentions d'information doivent figurer sur chaque point de collecte de données et contenir 11 rubriques obligatoires listées aux articles 13 et 14 du RGPD.
L'analyse d'impact (AIPD) est requise dès qu'un traitement présente un risque élevé pour les droits des personnes, selon les 9 critères du CEPD.
Les clauses contractuelles entre responsable de traitement et sous-traitant doivent reprendre les 8 mentions obligatoires de l'article 28 du RGPD.

Besoin d'un juriste freelance ou d'un avocat ?

Accédez en -24h à un avocat d'affaires sélectionné parmi les meilleurs, à des honoraires maîtrisés.

Trouver un avocat →En savoir plus →

✓ 250+ spécialistes✓ 500+ clients satisfaits✓ -30 à -50% moins cher qu'un cabinet

Sommaire

Pourquoi s'appuyer sur des modèles RGPD officiels

Exemple de registre des activités de traitement (modèle CNIL)

Exemple de mentions d'information et politique de confidentialité

Exemple d'analyse d'impact (AIPD) : modèle et éléments clés

Exemple de clause contractuelle RGPD (responsable / sous-traitant)

Télécharger les modèles RGPD et sécuriser votre conformité

FAQ

Pour aller plus loin

Pourquoi s'appuyer sur des modèles RGPD officiels

Déployer une conformité RGPD sans modèle de référence revient à rédiger un contrat sans connaître le droit applicable. Les directions juridiques perdent un temps considérable à reconstituer des trames documentaires que la CNIL propose gratuitement depuis 2018. Un RGPD exemple officiel offre un double avantage : il garantit la complétude des mentions obligatoires et il réduit le risque d'omission lors d'un contrôle.

La CNIL a publié plus de 15 modèles et guides opérationnels sur son site. Parmi eux, le tableur de registre des traitements, le PIA tool (logiciel d'analyse d'impact), les modèles de mentions d'information et les clauses contractuelles types. Ces documents couvrent les 4 piliers documentaires exigés par le règlement européen 2016/679 : registre, information des personnes, analyse des risques et encadrement contractuel.

Partir de ces modèles ne dispense pas d'un travail d'adaptation. Chaque entreprise doit contextualiser les trames en fonction de ses traitements, de son secteur et de sa structure organisationnelle. Le modèle est un socle, pas un livrable fini.

Document RGPD	Source CNIL	Article du RGPD	Obligatoire ?
Registre des traitements	Tableur Excel téléchargeable	Article 30	Oui (sauf exception < 250 salariés)
Mentions d'information	Modèle en ligne	Articles 13 et 14	Oui, systématiquement
Analyse d'impact (AIPD)	Logiciel PIA	Article 35	Oui, si risque élevé
Clauses sous-traitant	Guide sous-traitance	Article 28	Oui, dès sous-traitance
Politique de confidentialité	Recommandations CNIL	Articles 12 à 14	Oui, bonne pratique structurante

La conformité RGPD repose sur une documentation précise, adaptée à chaque organisation.
Échangez avec un avocat spécialisé en protection des données

Exemple de registre des activités de traitement (modèle CNIL)

Le registre des activités de traitement est le document central de toute conformité RGPD. L'article 30 du règlement impose à chaque responsable de traitement de tenir un registre écrit, sous forme électronique, décrivant l'ensemble des traitements de données personnelles réalisés par l'organisme.

Le modèle CNIL se présente sous la forme d'un tableur Excel structuré en fiches. Chaque fiche correspond à un traitement et contient les rubriques suivantes :

Nom et coordonnées du responsable de traitement et, le cas échéant, du DPO
Finalité du traitement (ex. : gestion de la paie, prospection commerciale, vidéosurveillance)
Catégories de personnes concernées (salariés, clients, prospects, fournisseurs)
Catégories de données collectées (identité, coordonnées, données bancaires, données de santé)
Destinataires des données, y compris les sous-traitants
Transferts hors UE, avec indication des garanties (clauses contractuelles types, décision d'adéquation)
Durées de conservation par catégorie de données
Mesures de sécurité techniques et organisationnelles

Un RGPD exemple courant : la fiche « gestion des ressources humaines » recense les données des salariés (identité, RIB, arrêts maladie), avec une conservation de 5 ans après le départ du salarié pour les bulletins de paie, conformément à l'article L3243-4 du Code du travail.

La CNIL recommande de mettre à jour le registre à chaque nouveau traitement ou modification substantielle. En pratique, une revue trimestrielle permet de maintenir le registre à jour sans mobiliser des ressources excessives.

Exemple de mentions d'information et politique de confidentialité

Chaque fois qu'une entreprise collecte des données personnelles, elle doit informer la personne concernée. Les articles 13 et 14 du RGPD listent 11 rubriques obligatoires que les mentions d'information doivent contenir.

Les 11 rubriques obligatoires

Identité et coordonnées du responsable de traitement
Coordonnées du DPO (si désigné)
Finalités du traitement et base légale
Intérêts légitimes poursuivis (si base légale = intérêt légitime)
Destinataires ou catégories de destinataires
Transferts hors UE et garanties associées
Durée de conservation ou critères de détermination
Droits des personnes (accès, rectification, effacement, portabilité, opposition, limitation)
Droit de retirer le consentement (si base légale = consentement)
Droit d'introduire une réclamation auprès de la CNIL
Caractère obligatoire ou facultatif de la collecte et conséquences d'un défaut de fourniture

Politique de confidentialité vs mentions d'information

La politique de confidentialité regroupe l'ensemble des mentions d'information dans un document unique, accessible depuis le site web de l'entreprise. Les mentions d'information, elles, figurent au point de collecte (formulaire, contrat, bulletin d'adhésion). Les deux documents sont complémentaires.

En pratique, la CNIL recommande une approche en 2 niveaux : un premier niveau synthétique au point de collecte (finalité, base légale, droits essentiels, lien vers la politique complète), et un second niveau détaillé dans la politique de confidentialité.

Élément	Mentions au point de collecte	Politique de confidentialité
Format	Court, synthétique	Complet, détaillé
Emplacement	Formulaire, contrat, email	Page dédiée du site web
Contenu minimum	Finalité, base légale, droits, lien	11 rubriques complètes
Mise à jour	À chaque modification du formulaire	À chaque évolution des traitements

Rédiger des mentions conformes exige de croiser droit des données et pratiques sectorielles.
Consultez un avocat en protection des données pour adapter vos documents

Exemple d'analyse d'impact (AIPD) : modèle et éléments clés

L'analyse d'impact relative à la protection des données (AIPD) est obligatoire lorsqu'un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes. L'article 35 du RGPD en fixe le cadre. La CNIL a publié une liste de 14 types de traitements pour lesquels l'AIPD est systématiquement requise (délibération n° 2018-327 du 11 octobre 2018).

Les 9 critères du CEPD déclenchant une AIPD

Le Comité européen de la protection des données (CEPD) a défini 9 critères. Dès que 2 critères sont réunis, l'AIPD est en principe nécessaire :

Évaluation ou scoring (y compris profilage)
Décision automatisée avec effet juridique
Surveillance systématique
Données sensibles ou à caractère hautement personnel
Collecte à large échelle
Croisement de jeux de données
Personnes vulnérables (salariés, patients, mineurs)
Usage innovant de technologies
Traitement empêchant l'exercice d'un droit ou l'accès à un service

Structure du modèle CNIL (logiciel PIA)

Le logiciel PIA de la CNIL structure l'AIPD en 4 parties :

Description du traitement : contexte, finalités, données traitées, supports, flux de données
Évaluation de la nécessité et de la proportionnalité : base légale, minimisation, durées de conservation, information des personnes, exercice des droits
Identification des risques : accès illégitime, modification non désirée, disparition des données — chacun évalué en gravité et vraisemblance
Mesures envisagées : mesures techniques (chiffrement, pseudonymisation, contrôle d'accès) et organisationnelles (formation, procédures internes, audits)

Un RGPD exemple fréquent : une entreprise déployant un outil de vidéosurveillance dans ses locaux avec reconnaissance faciale doit réaliser une AIPD car le traitement cumule surveillance systématique, données biométriques et personnes vulnérables (salariés).

Exemple de clause contractuelle RGPD (responsable / sous-traitant)

L'article 28 du RGPD impose que la relation entre un responsable de traitement et son sous-traitant soit encadrée par un contrat écrit. Ce contrat doit contenir 8 mentions obligatoires que la CNIL détaille dans son guide pratique de la sous-traitance publié en 2017, mis à jour en 2021.

Les 8 mentions obligatoires de l'article 28

Objet et durée du traitement
Nature et finalité du traitement
Type de données personnelles traitées
Catégories de personnes concernées
Obligations du sous-traitant : traiter les données uniquement sur instruction documentée du responsable
Confidentialité : engagement des personnes autorisées à traiter les données
Sécurité : mesures techniques et organisationnelles appropriées (article 32)
Sort des données en fin de contrat : restitution ou suppression, au choix du responsable

Points de vigilance pour la direction juridique

La clause doit prévoir explicitement l'obligation pour le sous-traitant de notifier toute violation de données dans un délai défini (le RGPD impose 72 heures pour la notification à la CNIL par le responsable, article 33). Elle doit aussi encadrer le recours à des sous-traitants ultérieurs (sub-processors) : autorisation préalable écrite, générale ou spécifique.

En cas de transfert hors UE par le sous-traitant, les clauses contractuelles types adoptées par la Commission européenne (décision d'exécution 2021/914 du 4 juin 2021) doivent être annexées au contrat.

L'encadrement contractuel de la sous-traitance est un levier de maîtrise des risques RGPD souvent sous-estimé.
Faites relire vos clauses par un avocat spécialisé en protection des données

Télécharger les modèles RGPD et sécuriser votre conformité

Les modèles officiels sont accessibles gratuitement sur le site de la CNIL. Voici les liens directs vers les ressources opérationnelles :

Registre des traitements : modèle Excel disponible sur cnil.fr, rubrique « Registre des activités de traitement »
Logiciel PIA (AIPD) : téléchargeable sur le site de la CNIL, compatible Windows, Mac et Linux
Guide sous-traitant : PDF de 44 pages détaillant les obligations respectives du responsable et du sous-traitant
Modèles de mentions d'information : exemples sectoriels (RH, clients, prospects) dans les fiches pratiques CNIL
Clauses contractuelles types (transferts hors UE) : disponibles sur le site de la Commission européenne

Checklist de conformité documentaire

Document	Statut à vérifier	Fréquence de mise à jour
Registre des traitements	Complet et à jour	Trimestrielle
Mentions d'information	Présentes sur chaque point de collecte	À chaque nouveau formulaire
Politique de confidentialité	Publiée et accessible	Annuelle minimum
AIPD	Réalisée pour chaque traitement à risque élevé	À chaque évolution du traitement
Clauses sous-traitant	Signées avec chaque prestataire traitant des données	À chaque nouveau contrat
Procédure de gestion des droits	Documentée et opérationnelle	Annuelle

Disposer de ces documents ne suffit pas. Leur cohérence d'ensemble, leur actualisation régulière et leur adaptation aux spécificités de l'entreprise conditionnent la solidité de la conformité face à un contrôle CNIL ou à une demande d'exercice de droits.

FAQ

Le registre des traitements est-il obligatoire pour les entreprises de moins de 250 salariés ?

L'article 30§5 du RGPD prévoit une exemption partielle pour les organismes de moins de 250 salariés. En pratique, cette exemption est très limitée : le registre reste obligatoire dès que les traitements ne sont pas occasionnels, qu'ils portent sur des données sensibles ou qu'ils sont susceptibles de comporter un risque pour les droits des personnes. La quasi-totalité des entreprises est donc concernée.

Quelle est la différence entre une mention d'information et une politique de confidentialité ?

La mention d'information est un texte court placé au point de collecte des données (formulaire, contrat). La politique de confidentialité est un document global, accessible depuis le site web, qui regroupe l'ensemble des informations requises par les articles 13 et 14 du RGPD pour tous les traitements de l'organisme. Les deux sont complémentaires et obligatoires.

Dans quels cas l'AIPD est-elle obligatoire ?

L'AIPD est requise lorsqu'un traitement est susceptible d'engendrer un risque élevé pour les droits des personnes. La CNIL a publié une liste de 14 types de traitements concernés. En dehors de cette liste, l'AIPD s'impose dès que le traitement réunit au moins 2 des 9 critères définis par le CEPD (profilage, données sensibles, surveillance systématique, etc.).

Les clauses contractuelles RGPD avec un sous-traitant sont-elles obligatoires ?

Oui. L'article 28 du RGPD impose un contrat écrit entre le responsable de traitement et chaque sous-traitant traitant des données personnelles pour son compte. L'absence de clause conforme expose le responsable à une sanction pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial.

Peut-on utiliser les modèles CNIL tels quels sans les adapter ?

Les modèles CNIL fournissent une structure et les rubriques obligatoires, mais ils doivent être adaptés à chaque organisation. Les finalités, bases légales, durées de conservation et mesures de sécurité varient selon le secteur, la taille de l'entreprise et la nature des données traitées. Un modèle non contextualisé ne démontre pas une conformité effective.

Pour aller plus loin

Le registre des activités de traitement - CNIL

Le registre RGPD de la CNIL - CNIL

RGPD et TPE/PME : Modèle de registre pour des activités de traitement - France Num

SWIM LEGAL est une alternative au cabinet d’avocats traditionnel pour les besoins juridiques des entreprises. Incubé par le Barreau de Paris, SWIM a reçu le Prix de l’Innovation pour sa solution permettant à toute entreprise, quelle que soit sa taille ou sa localisation, d’accéder rapidement via la plateforme à des avocats d’affaires expérimentés. Les entreprises peuvent déposer leur besoin — qu’il s’agisse d’un dossier, d’une consultation ou d’un renfort temporaire — de manière confidentielle et recevoir des propositions d’avocats pour répondre rapidement à leur demande.

Télécharger la ressource

Plateforme de mise en relation d’avocats d’affaires
‍

Copied

{ "@context": "https://schema.org", "@type": "FAQPage", "mainEntity": [{"name":"Le registre des traitements est-il obligatoire pour les entreprises de moins de 250 salariés ?","@type":"Question","acceptedAnswer":{"text":"L'article 30§5 du RGPD prévoit une exemption partielle pour les organismes de moins de 250 salariés. En pratique, cette exemption est très limitée : le registre reste obligatoire dès que les traitements ne sont pas occasionnels, qu'ils portent sur des données sensibles ou qu'ils sont susceptibles de comporter un risque pour les droits des personnes. La quasi-totalité des entreprises est donc concernée.","@type":"Answer"}},{"name":"Quelle est la différence entre une mention d'information et une politique de confidentialité ?","@type":"Question","acceptedAnswer":{"text":"La mention d'information est un texte court placé au point de collecte des données (formulaire, contrat). La **politique de confidentialité** est un document global, accessible depuis le site web, qui regroupe l'ensemble des informations requises par les articles 13 et 14 du RGPD pour tous les traitements de l'organisme. Les deux sont complémentaires et obligatoires.","@type":"Answer"}},{"name":"Dans quels cas l'AIPD est-elle obligatoire ?","@type":"Question","acceptedAnswer":{"text":"L'**AIPD** est requise lorsqu'un traitement est susceptible d'engendrer un risque élevé pour les droits des personnes. La CNIL a publié une liste de 14 types de traitements concernés. En dehors de cette liste, l'AIPD s'impose dès que le traitement réunit au moins 2 des 9 critères définis par le CEPD (profilage, données sensibles, surveillance systématique, etc.).","@type":"Answer"}},{"name":"Les clauses contractuelles RGPD avec un sous-traitant sont-elles obligatoires ?","@type":"Question","acceptedAnswer":{"text":"Oui. L'article 28 du RGPD impose un contrat écrit entre le responsable de traitement et chaque sous-traitant traitant des données personnelles pour son compte. L'absence de clause conforme expose le responsable à une sanction pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial.","@type":"Answer"}},{"name":"Peut-on utiliser les modèles CNIL tels quels sans les adapter ?","@type":"Question","acceptedAnswer":{"text":"Les modèles CNIL fournissent une structure et les rubriques obligatoires, mais ils doivent être adaptés à chaque organisation. Les finalités, bases légales, durées de conservation et mesures de sécurité varient selon le secteur, la taille de l'entreprise et la nature des données traitées. Un modèle non contextualisé ne démontre pas une conformité effective.","@type":"Answer"}}] }

Ressources

Derniers articles

Découvrir plus de contenu

Guides & Ressources pratiques

Démission conventionnelle : un terme qui n'existe pas, quel mécanisme juridique choisir en 2026 ?

25 Jan 2026

Innovation

Plateforme juridique : les entreprises ont-elles vraiment intérêt à y recourir ?

05 Oct 2025

Guides & Ressources pratiques

9 principes de prévention : définition et cas d'application

15 Mar 2026