Chapitre 11.1 — Le registre des traitements (art. 30)
⏱️ TL;DR — Le registre des activités de traitement (art. 30) est la pierre angulaire de l’accountability : c’est le document qui prouve que tu sais ce que tu fais des données personnelles. Une ligne par traitement (une finalité = un traitement), avec pour chacune : finalité, base légale, catégories de personnes et de données, destinataires, transferts hors UE, durées de conservation, mesures de sécurité. FormaCampus tient deux registres : un comme responsable (art. 30.1) pour ses propres traitements, un comme sous-traitant (art. 30.2) pour ceux qu’il opère pour ses clients — leurs contenus diffèrent. L’allègement pour les organismes de moins de 250 salariés existe, mais en pratique on tient le registre quand même : c’est ta carte, pas une corvée.
🎯 Objectifs
- Comprendre pourquoi le registre est le cœur de la preuve de conformité.
- Connaître les rubriques obligatoires d’une fiche de traitement.
- Distinguer le registre du responsable (art. 30.1) de celui du sous-traitant (art. 30.2).
- Savoir ce que couvre l’allègement pour les moins de 250 salariés — et pourquoi tenir le registre malgré tout.
- Rédiger une fiche de registre complète (tableau ou format structuré).
Pourquoi le registre est la pierre angulaire
Souviens-toi du 7e principe (chapitre 1.4) : la responsabilité (art. 5.2). Tu dois non seulement respecter le RGPD, mais pouvoir le démontrer. Le registre est la preuve centrale : il recense tous les traitements de données personnelles de l’organisme. Sans lui, impossible de répondre aux questions élémentaires : quelles données je détiens, pour quoi, sur quelle base, combien de temps, qui y accède, où partent-elles ?
C’est aussi un outil opérationnel, pas seulement défensif :
- En cas de demande de droits (Partie 6), le registre te dit où vivent les données de la personne.
- En cas de violation (Partie 10), il te dit qui est concerné et quel risque, pour notifier en 72 h.
- Avant de coder une fonctionnalité, il t’oblige à nommer la finalité et la base légale — le bon réflexe de conception.
💡 Réflexe — Vois le registre comme la cartographie des flux de données personnelles de ton système, pas comme un formulaire pour la CNIL. C’est le pendant documentaire de ton schéma de base : chaque table qui contient des données personnelles devrait se retrouver, d’une manière ou d’une autre, dans une fiche de traitement. Un registre à jour, c’est un système qu’on comprend.
Ce que contient une fiche de traitement
Le registre du responsable (art. 30.1) décrit chaque traitement par ces rubriques :
| Rubrique | Ce qu’on y met | Exemple FormaCampus |
|---|---|---|
| Finalité(s) | Le pourquoi précis du traitement | Gérer la scolarité des élèves |
| Base légale | Une base par finalité (art. 6) | Contrat (avec l’école) / mission d’intérêt public |
| Catégories de personnes | Qui sont les personnes concernées | Élèves mineurs, parents, enseignants |
| Catégories de données | Types de données, dont sensibles (art. 9) | Identité, résultats, aménagements de handicap (santé) |
| Destinataires | Qui reçoit les données (interne, sous-traitants, tiers) | Enseignants, hébergeur, prestataire e-mailing |
| Transferts hors UE | Pays et garanties (chapitre V) | Aucun / CCT si sous-traitant hors UE |
| Durées de conservation | Combien de temps, par finalité | Durée de scolarité + archivage légal |
| Mesures de sécurité | Description générale (art. 32) | Chiffrement au repos, RBAC, MFA admin |
On y ajoute l’identité et les coordonnées du responsable (et du DPO s’il existe). Le niveau de détail des mesures de sécurité reste général dans le registre — le détail vit ailleurs (politique de sécurité, chapitre 11.4).
📚 Le texte — Le registre est l’objet de l’article 30. L’article 30.1 fixe le contenu pour le responsable de traitement, l’article 30.2 celui pour le sous-traitant. Un registre incomplet ou absent relève des obligations « techniques » sanctionnées jusqu’à 10 M€ ou 2 % du chiffre d’affaires mondial (art. 83) — le premier palier, celui qui vise justement registre, sécurité et sous-traitance.
Deux registres : responsable vs sous-traitant
C’est le point que les équipes ratent le plus souvent, et c’est le fil rouge de FormaCampus (voir chapitre 3.2) : la même entreprise peut être responsable pour certains traitements et sous-traitant pour d’autres. Les deux registres n’ont pas le même contenu.
| Registre du responsable (art. 30.1) | Registre du sous-traitant (art. 30.2) | |
|---|---|---|
| Point de vue | Mes propres traitements, que je décide | Les traitements que j’opère pour le compte d’un client |
| Finalités | Oui — c’est moi qui les fixe | Non — c’est le responsable client qui les fixe |
| Coordonnées à lister | Le responsable (et son DPO) | Le sous-traitant, chaque responsable client, les DPO |
| Contenu central | Finalités, catégories de personnes et de données, destinataires, durées | Catégories de traitements effectués pour chaque client |
| Durées de conservation | Oui | Généralement non (fixées par le responsable) |
| Transferts hors UE + garanties | Oui | Oui |
| Mesures de sécurité (générales) | Oui | Oui |
Autrement dit : le responsable décrit le pourquoi et le combien de temps ; le sous-traitant décrit le quoi (quelles catégories d’opérations, pour quel client), mais ne s’approprie ni les finalités ni les durées, qui appartiennent au responsable.
🧭 Sur FormaCampus — FormaCampus tient donc deux registres. Dans son registre de responsable : ses comptes utilisateurs, sa prospection commerciale, la paie de ses salariés, ses statistiques internes — des traitements qu’il décide seul. Dans son registre de sous-traitant : l’hébergement et la mise à disposition du LMS pour l’école Jules-Ferry, la correction assistée par IA pour l’organisme Alpha Formation — là, FormaCampus agit sur instruction de ses clients, qui restent responsables. Un même serveur, deux casquettes, deux registres.
L’allègement pour les moins de 250 salariés
L’article 30 prévoit lui-même une exception : les organismes de moins de 250 salariés ne sont pas tenus au registre… sauf — et l’exception est si large qu’elle vide presque la règle — si le traitement :
- n’est pas occasionnel (les traitements réguliers : comptes, paie, clients… le sont presque tous), ou
- est susceptible de comporter un risque pour les personnes, ou
- porte sur des données sensibles (art. 9) ou des données pénales (art. 10).
En clair : dès que tu traites régulièrement des données, ou des données sensibles, l’allègement ne s’applique pas. Pour une EdTech comme FormaCampus — traitements récurrents, données de mineurs, aménagements de santé — l’exception ne joue pratiquement jamais.
⚠️ Piège — « On est une petite boîte, moins de 250 salariés, on est dispensés de registre. » Faux dans la quasi-totalité des cas. L’exception ne couvre que les traitements occasionnels, sans risque et sans données sensibles — c’est-à-dire presque rien dans une entreprise qui tourne. La CNIL recommande à tous, quelle que soit la taille, de tenir un registre. Et même si tu y étais dispensé : sans registre, tu ne peux ni répondre à une demande de droits, ni qualifier une violation. Tiens-le quand même.
Une fiche de registre, concrètement
Le format libre : un tableau, un tableur, un outil dédié, ou — pour une équipe de dev — un fichier versionné dans le dépôt. L’important est qu’il soit à jour et exhaustif. Voici une fiche du registre responsable de FormaCampus, en format structuré :
# registre/responsable/comptes-utilisateurs.yaml
traitement: "Gestion des comptes utilisateurs de la plateforme"
responsable: "FormaCampus SAS"
dpo: "dpo@formacampus.fr"
finalites:
- "Créer et administrer les comptes d'accès à la plateforme"
- "Authentifier les utilisateurs et sécuriser les connexions"
base_legale: "Contrat (art. 6) : le compte est nécessaire à la fourniture du service"
personnes_concernees:
- "Administrateurs des établissements et organismes clients"
- "Formateurs et enseignants titulaires d'un compte"
- "Utilisateurs adultes inscrits en direct"
categories_donnees:
identite: ["nom", "prénom", "adresse e-mail"]
compte: ["identifiant", "mot de passe haché", "rôle"]
techniques: ["journaux de connexion", "adresse IP"]
sensibles: "aucune" # les données de santé relèvent du traitement scolarité, tenu au registre sous-traitant
destinataires:
internes: ["support FormaCampus"]
sous_traitants: ["hébergeur (UE)"]
transferts_hors_ue: "Aucun (hébergement UE)"
conservation:
base_active: "durée de vie du compte"
puis: "suppression ou anonymisation après une période d'inactivité définie"
mesures_securite:
- "mot de passe haché (argon2), MFA sur les comptes admin"
- "chiffrement en transit et au repos"
- "journaux de connexion masqués et purgés (voir chapitre 9.5)"La même fiche peut vivre en tableau dans un tableur partagé — l’essentiel est la structure : chaque rubrique de l’article 30 est renseignée, rien n’est vide « par flemme ».
🔒 Côté personne concernée — Un parent qui demande « quelles données avez-vous sur mon enfant, et pourquoi ? » a droit à une réponse claire (art. 15). Le registre est ce qui rend cette réponse possible et honnête : sans lui, l’école ou FormaCampus répondrait au doigt mouillé. Le registre, invisible pour le parent, est la condition d’un droit d’accès qui, lui, est bien visible.
✏️ Exercices
Exercice 1 — Range dans le bon registre. Pour chacun de ces traitements de FormaCampus, dis s’il relève du registre responsable (art. 30.1) ou sous-traitant (art. 30.2) : (a) la paie des salariés de FormaCampus ; (b) l’hébergement du LMS et le stockage des notes d’élèves pour le compte de l’école ; (c) la newsletter commerciale de FormaCampus vers ses prospects.
✅ Solution
(a) Responsable — FormaCampus décide seul de la paie de ses propres salariés : finalité et durées lui appartiennent. (b) Sous-traitant — FormaCampus opère ces données sur instruction de l’école, qui reste responsable ; sa fiche décrit les catégories de traitements effectués pour ce client, pas les finalités (celles de l’école). (c) Responsable — c’est la prospection de FormaCampus, qu’il décide et pilote lui-même. La même entreprise, deux registres, selon qui détermine les finalités et les moyens.
Exercice 2 — Complète la fiche. On te donne une fiche de traitement « support client » où figurent seulement la finalité et la base légale. Quelles rubriques manque-t-il pour qu’elle soit conforme à l’article 30.1 ?
✅ Solution
Il manque : les catégories de personnes concernées (utilisateurs qui contactent le support), les catégories de données (identité, contenu des échanges, éventuelles données sensibles à repérer), les destinataires (équipe support, outil de ticketing sous-traitant), les transferts hors UE et leurs garanties (l’outil de ticketing est-il hébergé hors UE ?), les durées de conservation (combien de temps garde-t-on les tickets ?), et la description générale des mesures de sécurité. Sans ces rubriques, la fiche ne prouve rien — elle est aussi utile qu’un TODO vide.
🧠 Quiz de révision
1. À quoi sert le registre des traitements et sur quel article repose-t-il ?
C’est le document central de l’accountability (art. 5.2) : il recense tous les traitements de données personnelles de l’organisme et prouve qu’on sait ce qu’on fait des données. Il repose sur l’article 30. Il sert aussi à répondre aux demandes de droits, à qualifier une violation, et à concevoir chaque fonctionnalité en nommant sa finalité et sa base légale.
2. Quelles rubriques contient une fiche du registre du responsable ?
Finalité(s), base légale, catégories de personnes concernées, catégories de données (dont sensibles), destinataires, transferts hors UE et garanties, durées de conservation, description générale des mesures de sécurité — plus l’identité du responsable et du DPO. C’est le contenu de l’article 30.1.
3. En quoi le registre du sous-traitant diffère-t-il de celui du responsable ?
Le sous-traitant (art. 30.2) ne liste pas les finalités ni, en général, les durées — elles appartiennent au responsable. Il décrit les catégories de traitements qu’il effectue pour le compte de chaque responsable client, en listant chaque responsable, les DPO, les transferts hors UE et les mesures de sécurité générales. Le responsable décrit le pourquoi, le sous-traitant le quoi.
4. L’allègement « moins de 250 salariés » dispense-t-il FormaCampus de registre ?
Non, quasiment jamais. L’exception de l’article 30 ne s’applique qu’aux traitements occasionnels, sans risque et sans données sensibles. Or FormaCampus traite régulièrement des données, dont des mineurs et des aménagements de santé (art. 9). L’exception ne joue pas, et la CNIL recommande le registre à tous. On le tient quand même.
5. Pourquoi tenir le registre est-il utile même en dehors d’un contrôle CNIL ?
Parce qu’il est opérationnel : il indique où vivent les données pour répondre à une demande de droits, il identifie les personnes concernées et le risque pour notifier une violation en 72 h, et il force à nommer finalité et base légale avant de coder. C’est la cartographie vivante des flux de données personnelles — sans elle, on pilote à l’aveugle.
Chapitre suivant : Privacy by design & by default (art. 25) — documenter ne suffit pas : il faut concevoir protecteur dès le départ et par défaut. On traduit l’article 25 en décisions de schéma et de réglages.