# Registre des traitements ### 📖 DĂ©finition Le **registre des activitĂ©s de traitement** est la **cartographie structurĂ©e de tous les traitements de donnĂ©es personnelles** effectuĂ©s au sein de votre organisation.\ Il constitue le **point de dĂ©part de tout contrĂŽle** par une autoritĂ© de protection des donnĂ©es (ex. : CNIL) et un **outil central de gouvernance de la conformitĂ©**. > 🔗 Le registre est prĂ©vu par [l’article 30 du RGPD](https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article30).\ > Il matĂ©rialise le principe d’**accountability**, ou responsabilitĂ© dĂ©montrĂ©e. Il permet d’identifier prĂ©cisĂ©ment : * Les **acteurs** impliquĂ©s (responsable, sous-traitant, co-responsables, reprĂ©sentants) * Les **catĂ©gories de donnĂ©es** collectĂ©es * Les **finalitĂ©s** du traitement * Les **destinataires et transferts** Ă©ventuels * Les **durĂ©es de conservation** * Les **mesures de sĂ©curitĂ©** mises en Ɠuvre {% embed url="" %} Comment passer en mode “Run” sur la gestion des registres de traitements {% endembed %} *** ### 🎯 Pourquoi tenir un registre ? Le registre est **obligatoire** (article 30 du RGPD).\ Mais au-delĂ  de la contrainte rĂ©glementaire, il devient un **vĂ©ritable outil de pilotage**, vous permettant de : * Documenter vos traitements pour **prouver votre conformitĂ©**, * Identifier et **prioriser les risques**, * **Optimiser vos durĂ©es de conservation**, * **Rationaliser vos traitements** et supprimer les donnĂ©es inutiles, * PrĂ©parer vos **audits RGPD** et vos **DPIA (analyses d’impact)**. {% hint style="success" %} 💡 Le registre n’est pas une formalitĂ© administrative : c’est la **clĂ© d’une gouvernance efficace** de vos donnĂ©es et de vos processus internes. {% endhint %} *** ### đŸ‘„ Qui est concernĂ© ? Toutes les organisations qui traitent des donnĂ©es personnelles de rĂ©sidents europĂ©ens sont concernĂ©es.\ Cependant, une **dĂ©rogation** est prĂ©vue pour les entreprises de moins de 250 salariĂ©s. {% hint style="info" %} Les PME doivent tout de mĂȘme inscrire dans leur registre les traitements : * non occasionnels (ex. : gestion RH, paie, clients, fournisseurs), * comportant des **risques pour les personnes** (vidĂ©osurveillance, gĂ©olocalisation, etc.), * ou impliquant des **donnĂ©es sensibles** (santĂ©, infractions, opinions). âžĄïž En pratique, **la plupart des entreprises** sont concernĂ©es.\ La CNIL recommande d’établir un registre **dans tous les cas**. {% endhint %} *** ### đŸ§± Deux registres Ă  distinguer Selon votre rĂŽle, vous devez tenir : 1. un **registre de responsable de traitement**, 2. un **registre de sous-traitant**. > Une mĂȘme organisation peut cumuler les deux : par exemple, une entreprise SaaS gĂ©rant Ă  la fois ses donnĂ©es RH (responsable) et celles de ses clients (sous-traitant). *** ### 🧭 Le registre du responsable de traitement (dans Dastra) Pour chaque traitement, le registre doit contenir au minimum : 1. Le **nom et les coordonnĂ©es** du responsable ou co-responsable 2. Les **finalitĂ©s** du traitement 3. Les **catĂ©gories de personnes concernĂ©es** (clients, prospects, employĂ©s, etc.) 4. Les **catĂ©gories de donnĂ©es** (identitĂ©, finances, localisation, etc.) 5. Les **destinataires** (internes, sous-traitants, partenaires) 6. Les **transferts hors EEE**, avec les garanties associĂ©es (clauses types, BCR, etc.) 7. Les **dĂ©lais d’effacement** ou critĂšres de conservation 8. Une **description gĂ©nĂ©rale des mesures de sĂ©curitĂ©** #### đŸ‘€ Les acteurs * Responsable du traitement * DPO ou contact conformitĂ© * ReprĂ©sentant Ă©ventuel * Co-responsables ou partenaires #### 🎯 Les finalitĂ©s Toutes les finalitĂ©s liĂ©es Ă  une activitĂ© (ex. : gestion des contrats, suivi des candidatures, marketing, etc.). #### ⚖ Les bases lĂ©gales * ExĂ©cution d’un contrat * Obligation lĂ©gale * IntĂ©rĂȘt lĂ©gitime * IntĂ©rĂȘt public * Consentement * Sauvegarde des intĂ©rĂȘts vitaux #### đŸ§© DonnĂ©es et personnes concernĂ©es * Typologie des personnes (clients, salariĂ©s, visiteurs
) * CatĂ©gories de donnĂ©es collectĂ©es * DurĂ©es de conservation ou rĂšgles applicables #### 🌍 Destinataires et transferts hors EEE * Services internes concernĂ©s * Sous-traitants, prestataires ou partenaires externes * Responsables conjoints ou personnes concernĂ©es * Transferts internationaux : identification des pays et outils juridiques (SCC, BCR, dĂ©cision d’adĂ©quation
) #### 🔐 Mesures de sĂ©curitĂ© * Mesures techniques (chiffrement, pseudonymisation, sauvegarde) * Mesures organisationnelles (gestion des accĂšs, formation, politique interne) *** ### đŸ€ Le registre du sous-traitant Les sous-traitants doivent Ă©galement tenir un registre, plus concis, listant : * Les coordonnĂ©es du sous-traitant, du DPO et du reprĂ©sentant Ă©ventuel * Les coordonnĂ©es des **responsables de traitement clients** * Les **catĂ©gories de donnĂ©es** traitĂ©es * Les **catĂ©gories de destinataires** * Les **transferts hors EEE** et garanties associĂ©es * Les **mesures de sĂ©curitĂ©** appliquĂ©es ### đŸ€– Et le registre des systĂšmes d’IA Avec l’entrĂ©e en vigueur de l’**AI Act**, les organisations devront Ă©galement documenter leurs **systĂšmes d’intelligence artificielle** selon leur niveau de risque.\ Dastra intĂšgre dĂšs Ă  prĂ©sent un **registre des systĂšmes d’IA** pour : * Relier chaque systĂšme d’IA Ă  ses traitements de donnĂ©es, * DĂ©crire les finalitĂ©s, les modĂšles utilisĂ©s et les donnĂ©es d’entraĂźnement, * Évaluer les risques et mesures de maĂźtrise, * Suivre la conformitĂ© AI Act et RGPD dans un mĂȘme espace. *** ### 📘 Pour aller plus loin *** {% hint style="success" %} 💡 **Bon rĂ©flexe :**\ Mettez Ă  jour votre registre **Ă  chaque nouveau traitement** et **chaque Ă©volution majeure** (nouvelle finalitĂ©, nouveau prestataire, nouveau transfert, etc.).\ Dastra peut vous notifier automatiquement lorsqu’un registre nĂ©cessite une rĂ©vision. {% endhint %}