Registre des traitements RGPD : le document que presque personne ne tient (à tort)

Le registre des traitements est l'un des documents les plus oubliés du RGPD, alors qu'il est obligatoire pour la quasi-totalité des activités et qu'il est le premier document demandé par la CNIL en cas de contrôle. Bonne nouvelle : pour un freelance ou une TPE, il tient sur une page.

Suis-je vraiment obligé d'en tenir un ?

L'article 30 du RGPD prévoit une dispense pour les organismes de moins de 250 salariés… mais cette dispense saute dès que l'une de ces conditions est remplie :

• le traitement n'est pas occasionnel (un fichier clients, une newsletter, des contrats : c'est régulier) ;
• le traitement porte sur des données sensibles (santé, opinions, etc.) ;
• le traitement présente un risque pour les personnes.

En pratique, dès que vous avez un fichier clients ou une liste d'abonnés, vos traitements sont réguliers : vous devez tenir un registre. C'est le cas de l'écrasante majorité des freelances et TPE.

Ce que le registre doit contenir

Pour chaque traitement (= chaque finalité de collecte de données), le registre note :

• La finalité : pourquoi collectez-vous ces données ? (gérer la facturation, envoyer une newsletter, répondre aux demandes de contact…)
• Les catégories de données : nom, email, adresse, données de paiement…
• Les catégories de personnes : clients, prospects, abonnés…
• Les destinataires : qui y accède ? quels sous-traitants ? (hébergeur, outil d'emailing, comptable…)
• La durée de conservation : combien de temps gardez-vous chaque donnée ?
• Les mesures de sécurité : mot de passe, accès restreint, chiffrement…
• Les transferts hors UE le cas échéant (un outil américain, par exemple).

Exemple concret : un freelance avec un site vitrine

Un consultant indépendant a typiquement 3 à 4 traitements :

| Finalité | Données | Conservation | |---|---|---| | Formulaire de contact | Nom, email, message | 1 an après le dernier contact | | Facturation / comptabilité | Identité, adresse, montants | 10 ans (obligation légale) | | Newsletter | Email, prénom | Jusqu'au désabonnement | | Mesure d'audience du site | Données techniques anonymisées | 13 mois max |

C'est tout. Inutile de viser un document de 40 pages : un registre juste, à jour et cohérent avec votre politique de confidentialité vaut bien mieux qu'un modèle complexe jamais relu.

L'erreur classique : un registre incohérent avec le site

La CNIL ne se contente pas de lire le registre : elle le confronte au site réel. Deux incohérences fréquentes :

• Le registre ne mentionne pas un outil qui dépose pourtant des cookies (un pixel publicitaire, un service de chat). Pour savoir ce que votre site charge réellement, un scan des cookies et trackers est le point de départ.
• La durée de conservation du registre contredit celle annoncée dans la politique de confidentialité.

Le registre, la politique de confidentialité et ce que le site fait réellement doivent raconter la même histoire.

Comment le tenir simplement

1. Listez vos finalités (regardez vos formulaires, vos outils, vos fichiers).
2. Remplissez une ligne par finalité avec les 7 informations ci-dessus.
3. Datez le document et notez la date de dernière mise à jour.
4. Mettez-le à jour à chaque nouveau traitement (nouvel outil, nouvelle collecte).
5. Vérifiez régulièrement qu'il reste cohérent avec ce que votre site collecte vraiment.

Un tableur suffit. Ce qui compte n'est pas l'outil, c'est que le document existe, soit exact et soit maintenu.

En résumé

Le registre des traitements est obligatoire pour presque tous les indépendants et TPE, simple à produire, mais il doit être vivant et cohérent avec votre site et vos documents légaux. C'est le réflexe qui distingue une conformité réelle d'une conformité de façade.

À lire aussi

• Politique de confidentialité : modèle et exemple gratuit 2026
• Mentions légales obligatoires : ce que la loi impose
• Auto-entrepreneur et RGPD : ce que vous devez vraiment faire
• Guide RGPD complet pour les sites web