#odx-page{font-family:’Inter’,system-ui,-apple-system,sans-serif;color:#334155;line-height:1.8;max-width:820px;margin:0 auto;padding:0 20px} #odx-page h1{font-size:2rem;font-weight:800;color:#0f172a;margin:0 0 1rem;line-height:1.3} #odx-page h2{font-size:1.45rem;font-weight:700;color:#1e293b;margin:2.5rem 0 1rem;padding-bottom:.5rem;border-bottom:2px solid #3c72fc30} #odx-page h3{font-size:1.15rem;font-weight:600;color:#1e293b;margin:1.8rem 0 .8rem} #odx-page p{margin:0 0 1.2rem;font-size:1rem;color:#475569} #odx-page ul,#odx-page ol{margin:0 0 1.5rem;padding-left:1.5rem} #odx-page li{margin-bottom:.5rem;color:#475569} #odx-page strong{color:#1e293b} #odx-page a{color:#3c72fc;text-decoration:none} #odx-page a:hover{text-decoration:underline} #odx-page .odx-hero-img{width:100%;height:auto;border-radius:12px;margin:1.5rem 0 2rem;box-shadow:0 4px 20px rgba(0,0,0,.08)} #odx-page .odx-toc{background:#f1f5f9;border-radius:10px;padding:1.5rem 2rem;margin:2rem 0} #odx-page .odx-toc h3{margin:0 0 .8rem;font-size:1.1rem;color:#0f172a;border:none;padding:0} #odx-page .odx-toc ol{margin:0;counter-reset:toc} #odx-page .odx-toc li{counter-increment:toc;margin-bottom:.4rem;color:#3c72fc;font-weight:500} #odx-page .odx-toc li a{color:#3c72fc} #odx-page .odx-highlight{background:linear-gradient(135deg,#eff6ff,#e0f2fe);border-left:4px solid #3c72fc;border-radius:0 10px 10px 0;padding:1.2rem 1.5rem;margin:1.5rem 0} #odx-page .odx-highlight p{margin:0;color:#1e3a5f;font-weight:500} #odx-page .odx-stat-grid{display:grid;grid-template-columns:repeat(auto-fit,minmax(200px,1fr));gap:1rem;margin:1.5rem 0} #odx-page .odx-stat{background:#f8fafc;border:1px solid #e2e8f0;border-radius:10px;padding:1.2rem;text-align:center} #odx-page .odx-stat .num{font-size:1.8rem;font-weight:800;color:#3c72fc;display:block} #odx-page .odx-stat .label{font-size:.85rem;color:#64748b;margin-top:.3rem;display:block} #odx-page table{width:100%;border-collapse:collapse;margin:1.5rem 0;font-size:.95rem} #odx-page th{background:#1e293b;color:#fff;padding:.8rem 1rem;text-align:left;font-weight:600} #odx-page td{padding:.7rem 1rem;border-bottom:1px solid #e2e8f0;color:#475569} #odx-page tr:nth-child(even) td{background:#f8fafc} #odx-page .ofaq{background:linear-gradient(135deg,#0a1628 0%,#1e3a5f 100%);border-radius:16px;padding:2.5rem;margin:3rem 0;position:relative;overflow:hidden} #odx-page .ofaq::before{content: »;position:absolute;top:-50%;right:-20%;width:300px;height:300px;background:radial-gradient(circle,rgba(60,114,252,.15),transparent 70%);border-radius:50%} #odx-page .ofaq-head{display:flex;align-items:center;gap:1rem;margin-bottom:1.5rem} #odx-page .ofaq-icon{width:48px;height:48px;background:linear-gradient(135deg,#3c72fc,#60a5fa);border-radius:12px;display:flex;align-items:center;justify-content:center;font-size:1.4rem;flex-shrink:0} #odx-page .ofaq-title{color:#fff;font-size:1.3rem;font-weight:700;margin:0} #odx-page .ofaq-count{color:#94a3b8;font-size:.85rem} #odx-page .ofaq-list{display:flex;flex-direction:column;gap:.8rem} #odx-page .ofaq-item{background:rgba(255,255,255,.05);border:1px solid rgba(255,255,255,.08);border-radius:12px;overflow:hidden;backdrop-filter:blur(10px)} #odx-page .ofaq-btn{width:100%;display:flex;align-items:center;gap:1rem;padding:1.1rem 1.3rem;cursor:pointer;border:none;background:none;text-align:left} #odx-page .ofaq-num{width:28px;height:28px;background:rgba(60,114,252,.15);border-radius:8px;display:flex;align-items:center;justify-content:center;color:#60a5fa;font-weight:700;font-size:.85rem;flex-shrink:0} #odx-page .ofaq-q{color:#e2e8f0;font-weight:600;font-size:.95rem;flex:1} #odx-page .ofaq-chevron{color:#64748b;transition:transform .3s cubic-bezier(.4,0,.2,1);font-size:.8rem;flex-shrink:0} #odx-page .ofaq-item.active .ofaq-chevron{transform:rotate(180deg)} #odx-page .ofaq-item.active .ofaq-num{background:linear-gradient(135deg,#3c72fc,#60a5fa);color:#fff} #odx-page .ofaq-panel{max-height:0;overflow:hidden;transition:max-height .4s cubic-bezier(.4,0,.2,1)} #odx-page .ofaq-item.active .ofaq-panel{max-height:500px} #odx-page .ofaq-ans{padding:0 1.3rem 1.2rem;color:#cbd5e1;line-height:1.7;font-size:.92rem} #odx-page .odx-cta{background:linear-gradient(135deg,#3c72fc,#1d4ed8);border-radius:14px;padding:2.5rem;text-align:center;margin:3rem 0;color:#fff} #odx-page .odx-cta h3{color:#fff;margin:0 0 .8rem;font-size:1.4rem;border:none} #odx-page .odx-cta p{color:rgba(255,255,255,.85);margin:0 0 1.5rem} #odx-page .odx-cta a.btn{display:inline-block;background:#fff;color:#1d4ed8;padding:.8rem 2rem;border-radius:8px;font-weight:700;text-decoration:none;transition:all .3s} #odx-page .odx-cta a.btn:hover{transform:translateY(-2px);box-shadow:0 8px 25px rgba(0,0,0,.2);text-decoration:none} @media(max-width:768px){#odx-page{padding:0 15px}#odx-page h1{font-size:1.5rem}#odx-page h2{font-size:1.25rem}#odx-page .ofaq{padding:1.5rem}#odx-page .odx-stat-grid{grid-template-columns:1fr 1fr}#odx-page .odx-cta{padding:1.5rem}}

Registre de traitement RGPD : modele et guide de redaction

Depuis l’entree en vigueur du RGPD en 2018, toute entreprise qui traite des donnees personnelles doit tenir un registre des activites de traitement. Pourtant, selon une enquete de la CNIL, 60 % des PME francaises n’ont toujours pas de registre conforme en 2025. Ce document est pourtant le pilier central de la conformite RGPD. Voici un guide pratique pour le rediger correctement.

L’obligation de tenir un registre de traitement

L’article 30 du RGPD impose a tout responsable de traitement de tenir un registre des activites de traitement effectuees sous sa responsabilite. Cette obligation s’applique a toutes les entreprises, quelle que soit leur taille.

Qui est concerne

Toute organisation qui traite des donnees personnelles est concernee :

• Entreprises de toute taille (TPE, PME, ETI, grands groupes)
• Associations et fondations
• Collectivites territoriales
• Professions liberales
• Sous-traitants qui traitent des donnees pour le compte d’un responsable de traitement

La derogation pour les entreprises de moins de 250 salaries

Les entreprises de moins de 250 salaries beneficient d’une derogation partielle : elles n’ont l’obligation de recenser que les traitements non occasionnels, les traitements susceptibles de comporter un risque pour les droits et libertes des personnes, et les traitements portant sur des donnees sensibles ou des condamnations penales.

En pratique, cette derogation est tres limitee car la gestion de la paie, des clients, de la comptabilite et du recrutement sont des traitements non occasionnels. La quasi-totalite des PME doit donc tenir un registre.

Le contenu obligatoire du registre

L’article 30 du RGPD enumere les informations obligatoires pour chaque traitement enregistre dans le registre.

Pour le responsable de traitement

Chaque fiche de traitement doit contenir :

• Le nom et les coordonnees du responsable de traitement (et le cas echeant du DPO)
• Les finalites du traitement : pourquoi les donnees sont collectees et traitees
• Les categories de personnes concernees : clients, salaries, prospects, fournisseurs
• Les categories de donnees personnelles traitees : identite, coordonnees, donnees bancaires, donnees de sante
• Les categories de destinataires : services internes, sous-traitants, organismes publics
• Les transferts de donnees hors UE : pays de destination et garanties mises en place
• Les delais de conservation : duree de conservation prevue pour chaque categorie de donnees
• Les mesures de securite : description des mesures techniques et organisationnelles

Pour le sous-traitant

Le sous-traitant doit tenir un registre complementaire mentionnant le nom de chaque responsable de traitement pour le compte duquel il agit, les categories de traitements effectues, les transferts hors UE et les mesures de securite.

Methode de redaction pas a pas

La redaction du registre de traitement suit une methodologie en cinq etapes.

Etape 1 : Cartographier les traitements

Recensez tous les traitements de donnees personnelles de votre entreprise. Interrogez chaque service : RH, commercial, comptabilite, marketing, IT, direction. Chaque collecte de donnees personnelles constitue potentiellement un traitement a enregistrer.

Etape 2 : Remplir une fiche par traitement

Pour chaque traitement identifie, redigez une fiche complete contenant toutes les informations obligatoires listees ci-dessus. Soyez precis et concret : evitez les formulations vagues comme « a des fins commerciales ».

Etape 3 : Identifier la base legale

Chaque traitement doit reposer sur l’une des six bases legales prevues par le RGPD :

• Consentement : la personne a donne son accord explicite
• Contrat : le traitement est necessaire a l’execution d’un contrat
• Obligation legale : le traitement est impose par la loi
• Interet vital : le traitement est necessaire pour proteger la vie d’une personne
• Mission d’interet public : le traitement est realise dans l’interet public
• Interet legitime : le traitement est necessaire aux interets legitimes du responsable

Etape 4 : Definir les durees de conservation

Pour chaque categorie de donnees, definissez une duree de conservation justifiee. Appuyez-vous sur les obligations legales (5 ans pour les pieces comptables, 5 ans apres le depart pour les dossiers du personnel) et les referentiels de la CNIL.

Etape 5 : Decrire les mesures de securite

Listez les mesures techniques (chiffrement, sauvegardes, controle d’acces, pare-feu) et organisationnelles (politique de mots de passe, sensibilisation des salaries, procedures de gestion des incidents) mises en place pour proteger les donnees.

Les traitements courants en PME

Voici les traitements de donnees personnelles les plus frequents dans une PME :

• Gestion de la paie et des RH : donnees d’identite, coordonnees, numero de securite sociale, donnees bancaires, situations familiales
• Gestion commerciale et CRM : donnees clients, historique d’achats, correspondances, reclamations
• Prospection commerciale : fichiers de prospects, campagnes emailing, formulaires de contact
• Comptabilite : donnees de facturation, coordonnees bancaires des clients et fournisseurs
• Videosurveillance : images des cameras de securite
• Gestion des acces : badges, controle d’acces, journaux de connexion
• Site web : cookies, formulaires de contact, newsletter, comptes utilisateurs
• Recrutement : CV, lettres de motivation, notes d’entretien

Outils et modeles disponibles

Plusieurs outils et modeles gratuits facilitent la redaction du registre de traitement.

Le modele de la CNIL

La CNIL propose un modele de registre gratuit au format Excel, telechargeables sur cnil.fr. Ce modele contient les champs obligatoires et des exemples de fiches pre-remplies. C’est le point de depart recommande pour toute PME.

Les logiciels de conformite RGPD

Pour les entreprises qui souhaitent aller plus loin, des logiciels de conformite RGPD proposent des fonctionnalites avancees : registre dynamique, cartographie des flux de donnees, gestion des demandes de droits, suivi des sous-traitants. Parmi les solutions adaptees aux PME : Witik, Data Legal Drive, Captain DPO, Dastra.

Tenir le registre a jour

Le registre n’est pas un document statique. Il doit etre mis a jour a chaque nouveau traitement, modification d’un traitement existant ou suppression d’un traitement. Designez un responsable de la mise a jour (le DPO ou un referent RGPD) et prevoyez une revue annuelle complete.

Questions frequentes

document.querySelectorAll(‘.ofaq-btn’).forEach(b=>b.addEventListener(‘click’,()=>{const i=b.closest(‘.ofaq-item’);document.querySelectorAll(‘.ofaq-item’).forEach(x=>{if(x!==i)x.classList.remove(‘active’)});i.classList.toggle(‘active’)}));