Créer un registre des traitements : ce qu'il doit contenir et ce qu'il faut éviter

Toute PME ayant des employés doit tenir un registre des traitements. L'autorité de contrôle le réclame à presque chaque inspection. Voici le modèle + ce qu'il doit contenir.

Le registre des traitements (article 30 RGPD) est le document central. Lors d'un contrôle, c'est généralement la première question : « montrez-moi votre registre. »

Pour chaque traitement, vous enregistrez

• La finalité (ex. « gestion du personnel »).
• Les catégories de personnes concernées (employés, candidats, clients).
• Les catégories de données personnelles (nom, e-mail, numéro de sécurité sociale, coordonnées bancaires).
• La base juridique (contrat, consentement, intérêt légitime, obligation légale).
• Les destinataires (qui reçoit ces données — rôles internes, parties externes).
• La durée de conservation (voir durées de conservation).
• Les mesures de sécurité (techniques + organisationnelles).
• Le cas échéant : transfert hors EEE.

Exemples de traitements dans une PME

• Gestion du personnel.
• Dossiers clients / CRM.
• Administration de la facturation.
• Liste de diffusion newsletter.
• Données des visiteurs du site web (analytics).
• Cookies / tracking.
• Vidéosurveillance des locaux.
• Administration des candidatures.

Format

Un tableur ou une base de données Notion convient parfaitement. Aucun outil spécifique n'est imposé. L'essentiel : un document centralisé, à jour, avec une ligne par catégorie.

Maintenance

Vérification rapide chaque trimestre : de nouveaux traitements ont-ils été ajoutés ? Certains traitements ont-ils été arrêtés ? Revue complète une fois par an.

Voir aussi : pilier RGPD, accords de sous-traitance.