Chapitre 16.2 — Modèles (registre, DPA, mentions)
⏱️ TL;DR — Quatre squelettes prêts à adapter : une fiche de registre (art. 30) au format structuré, les clauses essentielles d’un DPA (art. 28), un modèle de mentions d’information (art. 13), et un squelette de politique de confidentialité. Ce sont des points de départ : tu remplaces chaque crochet par ta réalité, tu supprimes ce qui ne s’applique pas, tu ajoutes ce qui manque. Le copier-coller aveugle n’est pas de la conformité — c’est même un signal d’alerte pour la CNIL.
Ce que tu trouveras ici
Des modèles concrets, chacun rattaché à son article. Ils condensent ce que les parties 8, 11 et 12 développent. Avant de t’en servir, garde une chose en tête : ces documents décrivent tes vrais traitements. S’ils ne correspondent pas à ce que fait réellement ton produit, ils ne protègent personne — ni les personnes concernées, ni toi.
⚠️ Piège — Un registre ou une politique « générique » téléchargée puis jamais adaptée est pire que rien : il affiche des durées, des bases légales et des destinataires faux. En cas de contrôle, l’écart entre le document et la réalité est un manquement à la responsabilité (art. 5.2). Adapte, ne recopie pas.
1. Fiche de registre des activités de traitement (art. 30)
Une fiche par traitement. Le registre du responsable liste ses traitements ; celui du sous-traitant liste les traitements faits pour le compte d’autrui. Détail : Partie 11.
traitement:
nom: "Gestion des inscriptions élèves"
reference: "REG-2026-014"
responsable_de_traitement:
organisme: "FormaCampus SAS"
contact_dpo: "dpo@formacampus.fr"
role: "responsable" # responsable | sous-traitant | responsable conjoint
finalites:
- "Créer et gérer les comptes élèves"
- "Suivre la scolarité et la progression"
base_legale: "contrat" # art. 6 : consentement | contrat | obligation legale
# | interet vital | mission interet public | interet legitime
categories_personnes:
- "Élèves (dont mineurs de moins de 15 ans)"
- "Parents / titulaires de l'autorité parentale"
categories_donnees:
- "Identité (nom, prénom, date de naissance)"
- "Coordonnées (e-mail parent)"
- "Données de scolarité (classe, résultats)"
donnees_sensibles: "Aménagements de handicap (santé, art. 9)" # sinon: aucune
destinataires:
- "Personnel habilité de l'établissement"
- "Hébergeur (sous-traitant)"
sous_traitants:
- "Hébergeur infogéré — UE"
- "Service d'e-mailing — voir fiche transferts"
transferts_hors_ue: "Aucun" # sinon: pays + garantie (adequation | CCT | DPF | derogation)
duree_conservation: "Durée de scolarité + 1 an, puis suppression ou anonymisation"
mesures_securite:
- "Chiffrement au repos et en transit"
- "Contrôle d'accès par rôle, journalisation"
aipd: "Requise (données de mineurs + santé à grande échelle) — réf. AIPD-2026-03"
derniere_revue: "2026-06-30"2. Clauses essentielles d’un DPA (art. 28)
Le contrat de sous-traitance (Data Processing Agreement). À faire signer à tout prestataire qui traite des données pour ton compte. Ces clauses sont le socle imposé par l’art. 28 — le contrat réel est plus détaillé. Détail : Partie 12.
- Objet, durée, nature et finalité du traitement ; catégories de données et de personnes concernées.
- Le sous-traitant n’agit que sur instruction documentée du responsable (y compris pour les transferts hors UE).
- Confidentialité : les personnes autorisées à traiter les données s’y engagent.
- Sécurité : mise en œuvre des mesures techniques et organisationnelles appropriées (art. 32).
- Sous-traitance ultérieure : encadrée par autorisation (écrite, préalable) et répercussion des mêmes obligations ; information du responsable en cas de changement.
- Assistance au responsable pour répondre aux demandes de droits des personnes.
- Assistance pour la sécurité, la notification des violations, les AIPD et la consultation préalable.
- Sort des données en fin de prestation : restitution ou suppression, au choix du responsable, puis effacement des copies.
- Mise à disposition des informations nécessaires pour démontrer la conformité et permettre des audits.
- Obligation d’alerter le responsable si une instruction lui paraît contraire au RGPD.
💡 Réflexe — Beaucoup de SaaS fournissent leur propre DPA (souvent un addendum en ligne). Tu peux l’accepter, mais lis-le : vérifie la localisation des données, la liste des sous-traitants ultérieurs, et les clauses de transfert (CCT ?). Un DPA signé sans être lu ne vaut guère mieux que pas de DPA.
3. Modèle de mentions d’information (art. 13)
À afficher au moment de la collecte (sous un formulaire, à la création d’un compte). Langage clair, surtout si des enfants sont concernés. Détail : Partie 8.
### Protection de vos données
- **Responsable du traitement** : [Organisme], [adresse].
- **Délégué à la protection des données (DPO)** : [dpo@exemple.fr].
- **Finalité** : nous utilisons ces données pour [finalité précise].
- **Base légale** : [contrat / consentement / intérêt légitime / obligation légale].
- **Destinataires** : [services internes habilités, sous-traitants : hébergeur, e-mailing…].
- **Transfert hors UE** : [aucun] / [pays + garantie : adéquation, CCT, DPF].
- **Durée de conservation** : [durée justifiée par la finalité].
- **Vos droits** : accès, rectification, effacement, limitation, opposition,
portabilité — exerçables à [contact]. Réponse sous 1 mois.
- **Réclamation** : vous pouvez saisir la CNIL (www.cnil.fr).
- [Si consentement] Vous pouvez le **retirer à tout moment**, aussi facilement
que vous l'avez donné.4. Squelette de politique de confidentialité
Le document d’ensemble, accessible en permanence (lien de pied de page). Il reprend et complète les mentions. Une trame de sections :
# Politique de confidentialité
1. Qui sommes-nous (responsable de traitement, coordonnées, DPO)
2. Quelles données nous collectons (catégories, y compris via cookies)
3. Pourquoi (finalités) et sur quelle base légale (par finalité)
4. Combien de temps nous les conservons (durées par finalité)
5. Avec qui nous les partageons (destinataires, sous-traitants)
6. Transferts hors Union européenne (pays, garanties : adéquation, CCT, DPF)
7. Vos droits et comment les exercer (accès, effacement… + délai d'un mois)
8. Cookies et traceurs (renvoi vers la gestion du consentement)
9. Sécurité des données (mesures générales)
10. Réclamation auprès de la CNIL
11. Date de dernière mise à jour et gestion des versions💡 Réflexe — Une politique de confidentialité se versionne : date de mise à jour visible, historique conservé. C’est de l’accountability (art. 5.2) — tu dois pouvoir montrer quelle version était en ligne à quelle date. Voir Partie 8.
🧭 Sur FormaCampus — Le registre de FormaCampus compte une fiche par traitement (inscriptions, newsletter, aide IA, logs…). Ses DPA sont signés avec l’hébergeur, l’e-mailing, la visio et le fournisseur de modèle d’IA. Ses mentions vivent sous chaque formulaire, et la politique de confidentialité, versionnée, est reliée à chaque fiche du registre. Le fil qui relie tout : le registre est la source de vérité — mentions et DPA en découlent.
Chapitre suivant : Cheatsheet des articles clés — le tableau article → sujet, les sanctions, les délais.