# Registre des traitements

### 📖 Définition

Le **registre des activités de traitement** est la **cartographie structurée de tous les traitements de données personnelles** effectués au sein de votre organisation.\
Il constitue le **point de départ de tout contrôle** par une autorité de protection des données (ex. : CNIL) et un **outil central de gouvernance de la conformité**.

> 🔗 Le registre est prévu par [l’article 30 du RGPD](https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article30).\
> Il matérialise le principe d’**accountability**, ou responsabilité démontrée.

Il permet d’identifier précisément :

* Les **acteurs** impliqués (responsable, sous-traitant, co-responsables, représentants)
* Les **catégories de données** collectées
* Les **finalités** du traitement
* Les **destinataires et transferts** éventuels
* Les **durées de conservation**
* Les **mesures de sécurité** mises en œuvre

{% embed url="<https://youtu.be/R_Z2m4sb-44>" %}
Comment passer en mode “Run” sur la gestion des registres de traitements
{% endembed %}

***

### 🎯 Pourquoi tenir un registre ?

Le registre est **obligatoire** (article 30 du RGPD).\
Mais au-delà de la contrainte réglementaire, il devient un **véritable outil de pilotage**, vous permettant de :

* Documenter vos traitements pour **prouver votre conformité**,
* Identifier et **prioriser les risques**,
* **Optimiser vos durées de conservation**,
* **Rationaliser vos traitements** et supprimer les données inutiles,
* Préparer vos **audits RGPD** et vos **DPIA (analyses d’impact)**.

{% hint style="success" %}
💡 Le registre n’est pas une formalité administrative : c’est la **clé d’une gouvernance efficace** de vos données et de vos processus internes.
{% endhint %}

***

### 👥 Qui est concerné ?

Toutes les organisations qui traitent des données personnelles de résidents européens sont concernées.\
Cependant, une **dérogation** est prévue pour les entreprises de moins de 250 salariés.

{% hint style="info" %}
Les PME doivent tout de même inscrire dans leur registre les traitements :

* non occasionnels (ex. : gestion RH, paie, clients, fournisseurs),
* comportant des **risques pour les personnes** (vidéosurveillance, géolocalisation, etc.),
* ou impliquant des **données sensibles** (santé, infractions, opinions).

➡️ En pratique, **la plupart des entreprises** sont concernées.\
La CNIL recommande d’établir un registre **dans tous les cas**.
{% endhint %}

***

### 🧱 Deux registres à distinguer

Selon votre rôle, vous devez tenir :

1. un **registre de responsable de traitement**,
2. un **registre de sous-traitant**.

> Une même organisation peut cumuler les deux : par exemple, une entreprise SaaS gérant à la fois ses données RH (responsable) et celles de ses clients (sous-traitant).

***

### 🧭 Le registre du responsable de traitement (dans Dastra)

Pour chaque traitement, le registre doit contenir au minimum :

1. Le **nom et les coordonnées** du responsable ou co-responsable
2. Les **finalités** du traitement
3. Les **catégories de personnes concernées** (clients, prospects, employés, etc.)
4. Les **catégories de données** (identité, finances, localisation, etc.)
5. Les **destinataires** (internes, sous-traitants, partenaires)
6. Les **transferts hors EEE**, avec les garanties associées (clauses types, BCR, etc.)
7. Les **délais d’effacement** ou critères de conservation
8. Une **description générale des mesures de sécurité**

#### 👤 Les acteurs

* Responsable du traitement
* DPO ou contact conformité
* Représentant éventuel
* Co-responsables ou partenaires

#### 🎯 Les finalités

Toutes les finalités liées à une activité (ex. : gestion des contrats, suivi des candidatures, marketing, etc.).

#### ⚖️ Les bases légales

* Exécution d’un contrat
* Obligation légale
* Intérêt légitime
* Intérêt public
* Consentement
* Sauvegarde des intérêts vitaux

#### 🧩 Données et personnes concernées

* Typologie des personnes (clients, salariés, visiteurs…)
* Catégories de données collectées
* Durées de conservation ou règles applicables

#### 🌍 Destinataires et transferts hors EEE

* Services internes concernés
* Sous-traitants, prestataires ou partenaires externes
* Responsables conjoints ou personnes concernées
* Transferts internationaux : identification des pays et outils juridiques (SCC, BCR, décision d’adéquation…)

#### 🔐 Mesures de sécurité

* Mesures techniques (chiffrement, pseudonymisation, sauvegarde)
* Mesures organisationnelles (gestion des accès, formation, politique interne)

***

### 🤝 Le registre du sous-traitant

Les sous-traitants doivent également tenir un registre, plus concis, listant :

* Les coordonnées du sous-traitant, du DPO et du représentant éventuel
* Les coordonnées des **responsables de traitement clients**
* Les **catégories de données** traitées
* Les **catégories de destinataires**
* Les **transferts hors EEE** et garanties associées
* Les **mesures de sécurité** appliquées

### 🤖 Et le registre des systèmes d’IA

Avec l’entrée en vigueur de l’**AI Act**, les organisations devront également documenter leurs **systèmes d’intelligence artificielle** selon leur niveau de risque.\
Dastra intègre dès à présent un **registre des systèmes d’IA** pour :

* Relier chaque système d’IA à ses traitements de données,
* Décrire les finalités, les modèles utilisés et les données d’entraînement,
* Évaluer les risques et mesures de maîtrise,
* Suivre la conformité AI Act et RGPD dans un même espace.

***

### 📘 Pour aller plus loin

***

{% hint style="success" %}
💡 **Bon réflexe :**\
Mettez à jour votre registre **à chaque nouveau traitement** et **chaque évolution majeure** (nouvelle finalité, nouveau prestataire, nouveau transfert, etc.).\
Dastra peut vous notifier automatiquement lorsqu’un registre nécessite une révision.
{% endhint %}


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://doc.dastra.eu/rappels-utiles/rgpd-en-bref/registre-de-traitement.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.