Registre des activités de traitement : Définition juridique et Applications

Le registre des activités de traitement constitue le document central de la documentation RGPD au sein des organisations. Imposé par l'article 30 du Règlement (UE) 2016/679, il consigne pour chaque traitement effectué l'ensemble des informations permettant à l'autorité de contrôle et au responsable lui-même de cartographier les flux de données personnelles, d'identifier les finalités poursuivies et de vérifier la conformité aux exigences du règlement.

Cette obligation de documentation s'inscrit dans le principe d'accountability posé par l'article 5 paragraphe 2 du RGPD : le responsable de traitement doit être en mesure de démontrer le respect des principes du règlement. Le registre constitue la matérialisation concrète de cette obligation et représente, en pratique, le premier document que la CNIL demande à examiner lors de tout contrôle.

L'enjeu pratique est central. Au-delà de l'obligation formelle de tenue, le registre joue un rôle de pilotage interne : il permet aux directions générales de mesurer leur exposition au risque RGPD, de prioriser les chantiers de mise en conformité et de coordonner les actions de leurs différents services collectant ou utilisant des données personnelles.

Vous souhaitez établir ou mettre à jour votre registre RGPD ? Le Cabinet Aurore Bonavia accompagne les organisations dans la cartographie de leurs traitements et la rédaction de leur registre des activités. → Voir l'accompagnement en droit du numérique

Le contenu obligatoire du registre du responsable de traitement

L'article 30 paragraphe 1 du RGPD énumère limitativement les mentions devant figurer au registre tenu par le responsable de traitement :

• le nom et les coordonnées du responsable de traitement et, le cas échéant, du responsable conjoint, du représentant en France si le responsable est établi hors UE et du délégué à la protection des données ;
• les finalités du traitement poursuivies ;
• une description des catégories de personnes concernées et des catégories de données à caractère personnel ;
• les catégories de destinataires auxquels les données ont été ou seront communiquées, y compris les destinataires établis dans des pays tiers ou les organisations internationales ;
• le cas échéant, les transferts de données vers un pays tiers ou une organisation internationale, y compris l'identification de ce pays ou organisation et les documents attestant de l'existence de garanties appropriées ;
• les délais prévus pour l'effacement des différentes catégories de données ;
• une description générale des mesures de sécurité techniques et organisationnelles mises en œuvre pour assurer la protection des données.

Ces mentions doivent être tenues par écrit, y compris sous forme électronique, et présentées sur demande de l'autorité de contrôle.

Le contenu allégé du registre du sous-traitant

L'article 30 paragraphe 2 du RGPD prévoit un registre allégé pour le sous-traitant, qui consigne les traitements effectués pour le compte du ou des responsables de traitement avec lesquels il est en relation :

• le nom et les coordonnées du sous-traitant, du représentant en France si applicable, du DPO et de chaque responsable de traitement pour le compte duquel il agit ;
• les catégories de traitements effectués pour le compte de chaque responsable ;
• les transferts de données vers un pays tiers ou une organisation internationale ;
• une description générale des mesures de sécurité mises en œuvre.

Ce registre constitue souvent le complément naturel du dispositif contractuel imposé par l'article 28 du RGPD entre responsable et sous-traitant. Sa tenue rigoureuse facilite la réponse aux audits commandités par les responsables de traitement clients du sous-traitant.

La dispense pour les organisations de moins de 250 salariés

L'article 30 paragraphe 5 du RGPD prévoit une dispense conditionnelle de tenue du registre pour les entreprises ou organisations de moins de 250 personnes :

« Les obligations visées aux paragraphes 1 et 2 ne s'appliquent pas à une entreprise ou à une organisation comptant moins de 250 employés, sauf si le traitement qu'elles effectuent est susceptible de comporter un risque pour les droits et des libertés des personnes concernées, s'il n'est pas occasionnel ou s'il porte notamment sur les catégories particulières de données visées à l'article 9, paragraphe 1, ou sur des données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article 10. »

L'EDPB a précisé dans sa position du 19 avril 2018 que cette dispense doit être interprétée strictement. La plupart des PME entrent en réalité dans l'une des trois exceptions (traitement à risque, traitement non occasionnel, traitement de données sensibles), ce qui rend de facto la tenue du registre obligatoire pour la quasi-totalité des organisations économiques actives.

La CNIL recommande à tous les organismes, indépendamment de leur taille, de tenir un registre des activités de traitement à des fins de pilotage interne, même lorsque la dispense légale leur serait théoriquement applicable. Cette recommandation reflète l'utilité pratique du document comme outil de gouvernance.

Spécificité juridique sur les sanctions du défaut de registre

L'article 83 paragraphe 4 a) du Règlement (UE) 2016/679 inscrit le défaut de registre dans la première catégorie de sanctions administratives :

« Les violations des dispositions suivantes font, conformément au paragraphe 2, l'objet d'amendes administratives pouvant s'élever jusqu'à 10 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu : a) les obligations incombant au responsable du traitement et au sous-traitant en vertu des articles 8, 11, 25 à 39, 42 et 43. »

Plusieurs sanctions prononcées par la CNIL ont retenu, parmi les manquements caractérisés, l'absence ou l'insuffisance du registre des activités de traitement. La sanction prononcée le 7 décembre 2020 contre Carrefour France et Carrefour Banque a notamment retenu un défaut d'organisation documentaire en sus des manquements substantiels constatés.

Au-delà de l'aspect sanctionnable, l'absence de registre rend pratiquement impossible la démonstration du respect des autres obligations du RGPD. Une organisation qui ne dispose pas d'un état précis de ses traitements ne peut pas argumenter sérieusement sur sa conformité au principe de minimisation, sur la pertinence de ses bases légales ou sur l'adéquation de ses durées de conservation.

Le cabinet Aurore Bonavia se charge de vos enjeux en matière de registre des activités de traitement

• la cartographie initiale de l'ensemble de vos traitements de données personnelles ;
• la rédaction du registre des activités de traitement conforme aux exigences de l'article 30 du RGPD ;
• la mise en place d'un processus interne de tenue à jour du registre à chaque évolution des traitements ;
• la rédaction du registre allégé du sous-traitant si vous agissez en cette qualité ;
• l'audit de votre registre existant et l'identification des écarts par rapport aux exigences réglementaires ;
• la formation de vos équipes à l'utilisation du registre comme outil de pilotage interne ;
• la défense face aux contrôles CNIL portant sur la documentation RGPD.

En savoir plus sur l'accompagnement du cabinet : avocat CNIL.

Sources : Règlement (UE) 2016/679 (RGPD) art. 30, art. 5, art. 83, EDPB position du 19 avril 2018 sur l'article 30 paragraphe 5, CNIL guide pratique de tenue du registre, sanctions CNIL contre Carrefour (7 décembre 2020) et autres décisions sur la documentation RGPD. Fiche mise à jour le 3 mai 2026.