Pratique

Registre des traitements : comment le construire en 1 demi-journée

Le registre des traitements est l'obligation centrale du RGPD (Article 30). Voici la méthode pas à pas pour le bâtir efficacement, sans ouvrir un seul livre de droit.

Équipe RGPD Vision 8 avril 2026 9 min de lecture

Le registre des traitements fait peur. Ça sonne juridique, comptable, fastidieux. En réalité, c'est un simple tableau qui répertorie chacune de vos activités impliquant des données personnelles. Voici comment le bâtir méthodiquement en une demi-journée.

Avant de commencer : 3 prérequis

  • La liste des collaborateurs qui touchent à des données personnelles, avec leur poste
  • La liste des outils numériques que vous utilisez (CRM, comptabilité, mailing, RH, hébergeur…)
  • Une idée des partenaires externes qui reçoivent vos données (URSSAF, banque, expert-comptable…)

Avec ces trois listes, vous avez 80 % du contenu de votre futur registre.

Identifier vos traitements types

Un traitement, au sens RGPD, c'est une activité qui implique de manipuler des données personnelles. Les plus courants pour une TPE/PME :

  • Gestion de la relation client (devis, factures, paiements)
  • Prospection commerciale (mailing, démarchage)
  • Gestion du personnel (paie, congés, contrats)
  • Recrutement (candidatures, CV, entretiens)
  • Vidéosurveillance (locaux, parking)
  • Contrôle d'accès (badges, biométrie)
  • Site web et cookies (analytics, formulaires)

Pour chaque traitement, les 5 questions à se poser

QUI

Quels collaborateurs accèdent aux données ? Pas seulement leur nom, mais leur fonction et leur périmètre. Une assistante administrative qui voit les factures n'a pas le même rôle qu'un commercial qui voit le carnet de prospects.

QUOI

Listez précisément les catégories de données. Pour la gestion client typique : nom, prénom, adresse postale, email, téléphone, IBAN, historique de commandes. Évitez le piège du "et autres infos utiles" : soyez explicite.

POURQUOI

La finalité doit être déterminée, explicite et légitime (Article 5.1.b). En clair : vous traitez les données pour quoi précisément ? Pour pouvoir facturer le client, pour répondre à une obligation comptable, pour le démarcher commercialement, etc.

Surtout, identifiez la base légale qui justifie ce traitement. Le RGPD en prévoit 6 dans son Article 6, mais en pratique vous n'utiliserez que 4 :

  1. Consentement (la personne a dit oui explicitement)
  2. Exécution du contrat (nécessaire à la prestation)
  3. Obligation légale (la loi vous l'impose)
  4. Intérêt légitime (équilibré avec les droits de la personne)

Les données vivent à plusieurs endroits :

  • Supports : sur disque dur, dans un logiciel cloud, sur papier, dans une boîte mail
  • Destinataires : qui reçoit ces données — votre comptable, l'URSSAF, votre banque, etc.

JUSQU'À QUAND

La durée de conservation doit être justifiée. Quelques repères communs :

  • Données comptables : 10 ans (article L.123-22 du Code de commerce)
  • Données RH : 5 ans après départ pour les bulletins de paie
  • Prospection commerciale (B2B) : 3 ans sans interaction
  • Vidéosurveillance : 30 jours maximum sauf incident

Astuce : commencez par le traitement le plus évident

Ne tentez pas de tout documenter d'un coup. Démarrez par "Gestion des données clients" — c'est celui que vous connaissez le mieux et qui sert de modèle pour les autres.

Une fois ce premier registre rempli, les suivants vous prennent 15 minutes chacun. Vous ne réinventez pas la roue, vous duplicate-and-edit.

Et après ?

Une fois votre registre prêt :

  1. Datez-le (jour de production)
  2. Imprimez-le ou exportez-le en PDF
  3. Présentez-le à vos collaborateurs en réunion
  4. Mettez-le à jour à chaque changement significatif (nouveau logiciel, nouveau type de donnée, nouveau collaborateur)

Le registre n'est pas un document figé : il vit avec votre entreprise.

Équipe RGPD Vision

Article rédigé par l'équipe RGPD Vision pour vous accompagner dans votre mise en conformité. Une question sur ce sujet ?

Cet article résonne avec votre situation ?

Démarrez votre mise en conformité avec RGPD Vision. Sans démo, sans engagement.