Audit RGPD : Préparer votre registre des traitements en 1 journée

Le registre des traitements : une obligation légale

L'article 30 du RGPD impose à tout organisme traitant des données personnelles de maintenir un registre des activités de traitement (Record of Processing Activities — RoPA). Ce n'est pas optionnel : c'est le premier document que la CNIL demande lors d'un contrôle.

Pourtant, de nombreuses PME n'ont pas de registre à jour. Soit il n'existe pas, soit il a été créé une fois et jamais mis à jour. Cet article vous montre comment le construire en 1 journée.

Que doit contenir le registre (Article 30)

Pour chaque traitement de données personnelles, vous devez documenter :

1. Nom et coordonnées du responsable de traitement (et du DPO s'il existe)
2. Finalités du traitement : pourquoi vous collectez ces données
3. Catégories de personnes concernées : clients, employés, prospects, etc.
4. Catégories de données personnelles : identité, contact, financières, santé, etc.
5. Destinataires : qui a accès aux données (interne et externe)
6. Transferts hors UE : pays de destination et garanties (SCC, adéquation)
7. Durées de conservation : combien de temps chaque type de donnée est conservé
8. Mesures de sécurité : techniques (chiffrement, accès) et organisationnelles

Plan en 1 journée

Matin (9h-12h) : Inventaire des flux de données

9h-10h : Identifiez vos traitements

Listez tous les processus qui manipulent des données personnelles :

• Recrutement et gestion RH
• Paie et administration
• Prospection commerciale et marketing
• Gestion des clients et contrats
• Support client
• Analytics web et tracking
• Newsletter et emailing
• Vidéosurveillance (si applicable)

10h-12h : Pour chaque traitement, documentez

• La finalité précise
• La base légale (consentement, contrat, intérêt légitime, obligation légale)
• Les catégories de données collectées
• Les personnes concernées
• Les destinataires internes et externes

Après-midi (14h-17h) : Documentation détaillée

14h-15h30 : Durées de conservation

Définissez pour chaque traitement la durée de conservation et la justification :

• Données clients : durée du contrat + 5 ans (prescription civile)
• Données prospects : 3 ans après le dernier contact
• Données employés : 5 ans après la fin du contrat de travail
• Données de paie : 5 ans
• Logs de connexion : 12 mois (obligation LCEN)
• Données de candidature : 2 ans

15h30-16h30 : Sous-traitants et transferts

• Listez tous vos sous-traitants qui traitent des données personnelles
• Vérifiez que chacun a signé un DPA (Data Processing Agreement)
• Identifiez les transferts hors UE et les garanties en place

16h30-17h : Mesures de sécurité

Pour chaque traitement, documentez les mesures techniques et organisationnelles :

• Chiffrement (au repos et en transit)
• Contrôle d'accès (RBAC, MFA)
• Sauvegardes
• Journalisation des accès
• Formation des employés

Fin de journée (17h-18h) : Revue et validation

• Relisez le registre complet pour cohérence
• Faites valider par votre DPO ou référent RGPD
• Planifiez la prochaine revue (recommandé : trimestrielle)

Constats fréquents lors des contrôles CNIL

• Registre inexistant ou incomplet : le constat le plus fréquent. Amende garantie.
• Durées de conservation non définies : "on garde tout, pour toujours" n'est pas conforme
• DPA manquants avec les sous-traitants : obligation Article 28
• Base légale incorrecte : utiliser "consentement" quand c'est "intérêt légitime" (et vice versa)
• Pas de revue périodique : le registre doit être un document vivant

Automatisez avec Compli.st

Le GDPR Register Generator de Compli.st automatise la création et la maintenance de votre registre des traitements. Importez vos données, l'IA structure le registre conforme Article 30 et vous alerte des mises à jour nécessaires.

Créez votre registre RGPD automatiquement →