Registre des traitements (RGPD art. 30)
DéfinitionLe registre des traitements est le document interne obligatoire qui recense tous les traitements de données personnelles d'une organisation.
1. Une obligation de l'article 30 du RGPD Toute organisation qui traite des données personnelles doit tenir ce registre. Quelques exceptions visent les TPE de moins de 250 salariés. Mais elles tombent dès que le traitement est régulier, à risque ou porte sur des données sensibles (presque tous les cas).
2. Ce qu'il contient Pour chaque traitement : sa FINALITÉ (pourquoi), les catégories de DONNÉES collectées, les personnes CONCERNÉES, les DESTINATAIRES, la DURÉE de conservation, et les mesures de SÉCURITÉ. Une carte d'identité du traitement.
3. Un outil de pilotage Le registre n'est pas une formalité administrative : il oblige à se poser les bonnes questions AVANT de collecter. Il est le point de départ de toute mise en conformité RGPD et le premier document demandé en cas de contrôle CNIL.
4. Qui le tient ? Le RESPONSABLE de traitement (employeur, dirigeant) en est garant. Le DPO l'aide à le maintenir à jour. Il doit être présenté à la CNIL sur demande, dans un délai court. Pas de publication publique : il reste INTERNE.
5. Pièges courants Trois documents à distinguer. REGISTRE : INTERNE, exhaustif, vers la CNIL. POLITIQUE de confidentialité : PUBLIQUE, vers les utilisateurs. DPIA / analyse d'impact : ciblée sur les traitements à RISQUE, plus poussée que le registre.