📍82 Boulevard Haussmann, 75008 Paris

Demandez votre démo

Article 30 du RGPD : Registre des activités de traitement

Sommaire

Introduction 

L’article 30 du RGPD impose à chaque responsable du traitement et, le cas échéant, à son sous-traitant, de tenir un registre des activités de traitement effectuées sous leur responsabilité. Ce registre constitue un outil essentiel de responsabilisation (« accountability ») permettant de démontrer la conformité de l’organisation au règlement européen. Il recense notamment les finalités poursuivies, les catégories de données et de destinataires, ainsi que les mesures de sécurité mises en œuvre. Bien qu’il soit parfois perçu comme une obligation administrative, le registre est avant tout un instrument stratégique de pilotage de la protection des données, facilitant la transparence, le suivi des traitements et la préparation d’éventuels contrôles de la CNIL.

Explication de l’article 

Un traitement est une opération réalisée sur des données personnelles (collecte, stockage, utilisation, manipulation d’informations qui identifient une personne).

Toute utilisation de ces données doit être documentée dans un registre de traitement, tenu par le responsable de ces traitements (la personne chargée de prendre toutes les décisions concernant un traitement de données : comment les données sont utilisées, pour quel objectif, quelles données…; il peut être une entreprise ou son dirigeant, ou le dirigeant d’un service spécifique).

Il peut être effectué manuellement ou à l’aide de logiciels de gestion de conformité.

Cette obligation prévue par le RGPD concerne :

  • les entreprises de + de 250 salariés
  • les entreprises qui effectuent des traitements pouvant comporter des risques pour les droits et libertés des personnes concernées
  • les entreprises qui effectuent un traitement régulier
  • les entreprises qui effectuent un traitement portant sur des données sensibles / relatives à des condamnations pénales ou des infractions (articles 9 et 10)

Le registre doit obligatoirement mentionner les informations suivantes :

  • nom et coordonnées du responsable du traitement, ou à défaut du responsable conjoint du traitement ou du représentant du responsable de traitement
  • nom et coordonnées du délégué à la protection des données (si il y en a un)
  • les finalités du traitement
  • les catégories de personnes concernées et les catégories des données traitées
  • les catégories des destinataires des données
  • si possible, les délais prévus pour l’effacement des différentes catégories de données
  • si possible, les mesures de sécurité technique et organisationnelles mises en place

Le registre doit être tenu par le responsable du traitement concerné.

Le sous-traitant (ou son représentant) est également chargé de tenir un registre des activités de traitement effectuées pour le compte du responsable de traitement. Ce registre doit mentionner :

  • nom et coordonnées du ou des sous-traitant et du responsable de traitement (ou leurs représentants) et celle du DPO (si il y en un)
  • les catégories de traitements effectués
  • si possible, une description des mesures de sécurité techniques et organisationnelles

Ces registres doivent être écrits même électroniquement. Ils doivent pouvoir être soumis aux autorités de contrôle si celles-ci en font la demande.

Libérez-vous du RGPD
Un DPO externe certifié prend en charge votre conformité et sécurise vos données, sans contrainte pour vous.
Je prends rendez-vous avec un expert

Texte original du RGPD

1. Chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement tiennent un registre des activités de traitement effectuées sous leur responsabilité. Ce registre comporte toutes les informations suivantes:

a) le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données;

b) les finalités du traitement;

c) une description des catégories de personnes concernées et des catégories de données à caractère personnel;

d) les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales;

e) le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa, les documents attestant de l’existence de garanties appropriées;

f) dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données;

g) dans la mesure du possible , une description générale des mesures de sécurité techniques et organisationnelles visées à l’article 32, paragraphe 1

2.Chaque sous-traitant et, le cas échéant, le représentant du sous-traitant tiennent un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable du traitement, comprenant:

a) le nom et les coordonnées du ou des sous-traitants et de chaque responsable du traitement pour le compte duquel le sous-traitant agit ainsi que, le cas échéant, les noms et les coordonnées du représentant du responsable du traitement ou du sous-traitant et celles du délégué à la protection des données;

b) les catégories de traitements effectués pour le compte de chaque responsable du traitement;

c) le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa, les documents attestant de l’existence de garanties appropriées;

d) dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l’article 32, paragraphe 1.

3. Les registres visés aux paragraphes 1 et 2 se présentent sous une forme écrite y compris la forme électronique.

4. Le responsable du traitement ou le sous-traitant et, le cas échéant, leur représentant mettent le registre à la disposition de l’autorité de contrôle sur demande.

5. Les obligations visées aux paragraphes 1 et 2 ne s’appliquent pas à une entreprise ou à une organisation comptant moins de 250 employés, sauf si le traitement qu’elles effectuent est susceptible de comporter un risque pour les droits et des libertés des personnes concernées, s’il n’est pas occasionnel ou s’il porte notamment sur les catégories particulières de données visées à l’article 9, paragraphe 1, ou sur des données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10.

Équivalent directive 95/46 CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

Pas de disposition correspondante

Équivalent de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi Informatique et Liberté)

Article 57

Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018

En application de l’article 24 du règlement (UE) 2016/679 du 27 avril 2016, le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément à ce même règlement et à la présente loi.

Le responsable du traitement et, le cas échéant, son représentant tiennent le registre des activités de traitement dans les conditions prévues à l’article 30 de ce règlement. Ils désignent un délégué à la protection des données dans les conditions prévues par la section 4 du chapitre IV du même règlement.

Analyse des 3 textes qui précèdent 

Le RGPD a instauré, avec l’article 30, une obligation claire et formalisée de tenue d’un registre des activités de traitement pour les responsables et les sous-traitants. Cette obligation remplace l’ancienne obligation de notification préalable (articles 18 et 19 de la Directive), jugée trop lourde administrativement et financièrement, sans amélioration réelle de la protection des données.

Une exception importante est prévue pour les petites organisations (moins de 250 salariés) sauf si leurs traitements présentent un risque élevé, ne sont pas occasionnels, ou portent sur des données sensibles (articles 9 et 10 RGPD). 

Sous la Directive 95/46 CE, il existait une obligation de notification préalable des traitements à l’autorité, avec des dérogations possibles :

  • Traitements à faible risque, pour lesquels les finalités et les données étaient précisées,
  • ou présence d’un délégué à la protection des données assurant le respect par un registre interne.

Cette démarche, moins contraignante sous certaines conditions, a évolué vers une obligation de documentation systématique sous le RGPD.

L’article 57 de la loi Informatique et Libertés reflète cette évolution, en instituant une dérogation à la notification à la CNIL pour certains traitements liés à l’activité journalistique professionnelle, sous réserve qu’un correspondant à la protection des données tienne un registre des traitements.

Conclusion

L’article 30 du RGPD est une évolution clé, rendant obligatoire une documentation exhaustive des traitements internes, comme outil principal de transparence et de responsabilité. Cette obligation systématique a remplacé la notification préalable sous la Directive, tout en prévoyant des exceptions justifiées. En droit français, cette logique trouve une application spécifique dans certains contextes professionnels.

Jurisprudences 

Européennes 

Affaire en République Tchèque (2019-10-04)

Sanction de 2,000 euros d’amende. La personne morale n’a pas respecté son obligation de tenir à jour un registre des traitements conformément à l’article 30, ce qui fait partie des exigences de transparence et de gouvernance des données sous le RGPD.

Affaire en Italie (2025-01-16) 

Sanction de 100,000 euros d’amende 

Realmaps S.r.l. a été sanctionnée pour manquements liés à plusieurs aspects du RGPD, incluant notamment la tenue inadéquate ou non conforme de ce registre conformément à l’article 30. 

Françaises 

Sanction : 3000€ d’amende pour la SNAF

Dans une décision du 15 septembre 2021, condamnant la Société Nouvelle de l’Annuaire Français à une amende de 3000€, la CNIL relève plusieurs manquements et violations au RGPD.

En effet, suite à la réception de plusieurs plaintes et signalements, la CNIL effectue un contrôle et constate que la SNAF ne dispose pas de registre de traitement à lui présenter, alors qu’au regard de son activité, elle était amenée à traiter régulièrement des données personnelles. Délibération SAN-2021-014 du 15 septembre 2021 – Légifrance

Recommandations 

CEPD 

Registre des activités de traitement de données à caractère personnel par le CEPD

CNIL

Le registre des activités de traitement

Vous voulez avancer sur le RGPD sans perdre de temps ? Faites-vous accompagner par un DPO externe.

Libérez-vous du RGPD
Un DPO externe certifié prend en charge votre conformité et sécurise vos données, sans contrainte pour vous.
Je prends rendez-vous avec un expert
Newsletter S'inscrire

Recevez nos derniers articles et actualités directement dans votre boîte de réception !

Votre e-mail est en sécurité 🔒. En entrant votre e-mail, vous acceptez de recevoir nos newsletter et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.