EuroComply
Créer un compte
Back to blog
RGPD 10 min read

Registre des activités de traitement RGPD : Guide pratique

What you need to know: Registre des activités de traitement RGPD : Guide pratique

Le registre des activités de traitement (RAT) est obligatoire pour la plupart des organisations en vertu de l'article 30 du RGPD. Ce guide présente ce qui doit être enregistré, qui est exempté et comment construire et maintenir un registre accepté par votre autorité de contrôle.

Source: EuroComply Editorial (2026-04-14)Reviewed:
EuroComply Team
EU regulatory specialistsContent reviewed against official EUR-Lex texts
EuroComply Editorial Team

Le registre des activités de traitement (RAT) est l'un des documents de responsabilité fondamentaux exigés par le RGPD. L'article 30 impose aux responsables du traitement et aux sous-traitants de tenir un registre écrit de toutes leurs activités de traitement de données à caractère personnel. Malgré son importance, le RAT est fréquemment incomplet, obsolète ou tout simplement absent.

Ce guide présente qui est tenu de maintenir un RAT, ce qu'il doit contenir et comment le construire et le maintenir à jour.

Ce qu'est un RAT

Un RAT est un inventaire documenté de chaque activité de traitement que votre organisation effectue impliquant des données à caractère personnel. Il ne s'agit pas d'un document public — c'est un registre interne de responsabilité, tenu au bénéfice de votre organisation et devant être mis à la disposition des autorités de contrôle sur demande.

L'article 30 distingue les obligations des responsables du traitement (organisations qui déterminent les finalités et les moyens du traitement) et des sous-traitants (organisations qui traitent des données pour le compte d'un responsable du traitement). La plupart des entreprises sont responsables du traitement pour leurs propres traitements de données et sous-traitants pour les données qu'elles traitent pour le compte de leurs clients.

Qui est exempté

L'article 30, paragraphe 5, prévoit une exemption pour les organisations de moins de 250 employés, sauf si le traitement :

  • est susceptible d'engendrer un risque pour les droits et libertés des personnes concernées ;
  • n'est pas occasionnel ; ou
  • porte sur des catégories particulières de données (article 9) ou sur des données relatives à des condamnations pénales (article 10).

En pratique, cette exemption est plus étroite qu'il n'y paraît. « Non occasionnel » désigne tout traitement qui s'effectue de manière régulière ou continue — ce qui inclut les données des salariés, les données clients, les listes de prospection et la gestion des fournisseurs. Toute organisation qui gère des fichiers clients, traite des fiches de paie ou envoie des courriels marketing réguliers ne peut pas bénéficier de l'exemption au seul motif du caractère « non occasionnel » de ses traitements.

La conséquence pratique : la plupart des entreprises — quel que soit leur effectif — ont besoin d'un RAT. Si vous traitez régulièrement des données à caractère personnel, vous devriez en tenir un.

Ce que doit contenir le RAT du responsable du traitement (article 30, paragraphe 1)

| Élément | Ce qu'il faut enregistrer | |---------|--------------------------| | Nom et coordonnées | Nom et adresse du responsable du traitement et, le cas échéant, du DPD | | Finalités du traitement | Pourquoi vous traitez ces données | | Catégories de personnes concernées | À qui les données se rapportent (salariés, clients, visiteurs du site) | | Catégories de données à caractère personnel | Quelles données vous détenez (nom, courriel, données de santé, données financières) | | Catégories de destinataires | À qui vous communiquez les données (tiers, sous-traitants) | | Transferts vers des pays tiers | Transferts en dehors de l'EEE et les garanties mises en place | | Durées de conservation | Combien de temps vous conservez les données (ou les critères pour les déterminer) | | Mesures de sécurité | Description des mesures techniques et organisationnelles (article 32) |

Les huit éléments sont obligatoires. Les sections les plus fréquemment incomplètes sont les durées de conservation et les mesures de sécurité.

Ce que doit contenir le RAT du sous-traitant (article 30, paragraphe 2)

Si votre organisation agit en tant que sous-traitant pour des données de tiers (par exemple, une entreprise SaaS traitant des données clients, un prestataire de paie, un fournisseur de stockage en nuage), votre RAT de sous-traitant doit contenir :

  • Le nom et les coordonnées du sous-traitant et de chaque responsable du traitement pour le compte duquel vous agissez
  • Les catégories de traitements effectués pour le compte de chaque responsable du traitement
  • Les transferts vers des pays tiers et les garanties
  • La description des mesures de sécurité

Structure pratique : Organiser par activité de traitement

Le format le plus praticable est un tableau avec une ligne par activité de traitement. Regroupez les activités par fonction métier :

RH : recrutement, dossiers du personnel, paie, gestion des performances, départ Marketing : campagnes d'e-mailing, collecte de leads, CRM, ciblage publicitaire Support client : tickets de support, enregistrements d'appels, gestion des comptes Finance : facturation, comptes fournisseurs, reporting financier Informatique et systèmes : journaux d'accès, supervision des systèmes, gestion des fournisseurs Juridique et conformité : gestion des contrats, registre des incidents, reporting réglementaire

Chaque ligne de votre tableau doit reprendre les huit éléments de l'article 30, paragraphe 1 pour cette activité. Une ligne type pourrait ressembler à ceci :

| Activité | Finalité | Personnes concernées | Données à caractère personnel | Destinataires | Conservation | Transferts | Sécurité | |----------|---------|---------------------|-------------------------------|--------------|-------------|------------|---------| | Paie des salariés | Traitement des versements de salaires | Salariés | Nom, coordonnées bancaires, salaire, numéro fiscal | Prestataire de paie, administration fiscale | Durée du contrat + 7 ans | Aucun | Transfert chiffré, contrôles d'accès |

La cartographie des données d'abord

Vous ne pouvez pas rédiger un RAT sans avoir préalablement cartographié vos données. Avant de compléter le document, réalisez un exercice de cartographie des données :

  1. Interrogez les responsables de département — demandez à chaque département : quelles données à caractère personnel collectez-vous ? D'où proviennent-elles ? À quoi vous servent-elles ? À qui les communiquez-vous ? Combien de temps les conservez-vous ?
  2. Passez en revue votre inventaire de systèmes — listez chaque système qui contient des données à caractère personnel : CRM, SIRH, plateforme marketing, service d'assistance, logiciel de comptabilité, stockage de fichiers. Chaque système correspond vraisemblablement à une ou plusieurs activités de traitement.
  3. Examinez les contrats fournisseurs — vos contrats de sous-traitance (DPA) avec les prestataires tiers permettront d'identifier quelles données leur sont transmises et dans quel but.
  4. Passez en revue les mentions d'information — vos mentions d'information accessibles au public décrivent aux personnes concernées vos activités de traitement. Celles-ci doivent correspondre directement aux lignes de votre RAT (si ce n'est pas le cas, vos mentions d'information devront peut-être également être mises à jour).

Les durées de conservation : La section la plus délicate

Les durées de conservation sont la section la plus fréquemment incomplète de tout RAT. La tentation est d'écrire « conformément aux dispositions légales » — mais c'est insuffisant. L'article 30 exige que vous précisiez les durées réelles ou les critères utilisés pour les déterminer.

Établissez un calendrier de conservation parallèlement à votre RAT. Pour chaque activité de traitement, identifiez :

  • L'obligation légale de conservation applicable (le cas échéant) — par exemple, bulletins de paie : 5 ans (France), 10 ans (Allemagne), 6 ans (Royaume-Uni)
  • La justification opérationnelle pour toute conservation au-delà du minimum légal
  • La durée de conservation en termes concrets : « 3 ans à compter de la fin du contrat » et non « aussi longtemps que nécessaire »

Lorsque vous ne pouvez véritablement pas préciser de durée (par exemple, des documents conservés aussi longtemps qu'un litige juridique reste possible), documentez les critères utilisés pour déterminer le moment de la suppression.

Maintenir le RAT à jour

Un RAT qui était exact lors de sa création mais n'a pas été mis à jour depuis deux ans constitue une source de responsabilité. Définissez des déclencheurs clairs pour les mises à jour du RAT :

  • Nouveau système ou outil adopté — ajoute une ou plusieurs activités de traitement
  • Nouvelle catégorie de données collectée — met à jour une ligne d'activité existante
  • Nouveau sous-traitant tiers engagé — met à jour la colonne des destinataires et nécessite un contrat de sous-traitance
  • Changement de processus — toute modification substantielle de la manière, des raisons ou des personnes qui traitent les données
  • Revue annuelle — un examen régulier de toutes les activités pour détecter les dérives

Tenez un journal des modifications parallèlement au RAT : quand chaque ligne a-t-elle été révisée pour la dernière fois, qu'est-ce qui a changé, et qui a approuvé la modification. Cela démontre une responsabilité continue à l'autorité de contrôle.

Modèle de RAT : Colonnes principales

Un tableau RAT minimal et conforme pour un responsable du traitement :

| Activité de traitement | Fonction métier | Finalité | Base légale | Personnes concernées | Catégories de données | Données sensibles ? | Destinataires | Transferts pays tiers | Durée de conservation | Mesures de sécurité | Dernière révision | |------------------------|----------------|---------|-------------|---------------------|----------------------|--------------------|--------------|-----------------------|-----------------------|--------------------|--------------------|

Commencez par cette structure et ajoutez des colonnes au fur et à mesure que les besoins de votre organisation se précisent. Un tableur est suffisant — aucun logiciel spécialisé n'est requis, bien que les outils dédiés facilitent la maintenance continue.


Dernière mise à jour : avril 2026. À titre informatif uniquement — ne constitue pas un avis juridique.

Foire aux questions

L'exemption du RAT pour les organisations de moins de 250 employés s'applique-t-elle à mon entreprise ?

L'exemption prévue à l'article 30, paragraphe 5, est plus étroite que la plupart des organisations ne le supposent. Même si vous comptez moins de 250 employés, vous devez tenir un RAT si votre traitement est « non occasionnel », présente un risque pour les personnes concernées ou implique des catégories particulières de données au titre de l'article 9. En pratique, pratiquement toute entreprise qui gère des fichiers clients, des bulletins de paie, des listes de prospection ou des données fournisseurs traite de manière régulière et continue — ce qui signifie que la condition « non occasionnel » est remplie et que l'exemption ne s'applique pas. Les autorités de contrôle dans toute l'UE ont constamment interprété cette condition de façon restrictive. Par défaut, il est plus sûr de tenir un RAT quel que soit l'effectif.

Quelles informations un RAT doit-il contenir en vertu de l'article 30 du RGPD ?

Pour les responsables du traitement, l'article 30, paragraphe 1, exige huit éléments : le nom et les coordonnées du responsable du traitement et des éventuels coresponsables ou DPD ; les finalités de chaque activité de traitement ; les catégories de personnes concernées ; les catégories de données à caractère personnel traitées ; les catégories de destinataires, y compris les destinataires dans des pays tiers ; les détails de tout transfert vers des pays tiers et les garanties mises en place ; les durées de conservation prévues ou les critères utilisés pour les déterminer ; et une description générale des mesures de sécurité techniques et organisationnelles. Les sections les plus fréquemment incomplètes en pratique sont les durées de conservation et les mesures de sécurité — deux points sur lesquels les autorités de contrôle exercent un contrôle approfondi.

À quelle fréquence devons-nous mettre à jour notre RAT ?

Le RGPD ne prévoit pas de fréquence légale de révision, mais le principe de responsabilité énoncé à l'article 5, paragraphe 2, exige que les organisations soient en mesure de démontrer leur conformité à tout moment. La meilleure pratique consiste à mettre à jour le RAT chaque fois qu'un événement déclencheur survient — ajout d'un nouveau système, engagement d'un nouveau sous-traitant, modification d'un processus ou collecte d'une nouvelle catégorie de données — et à procéder à une révision annuelle complète à titre d'obligation permanente. La tenue d'un journal des modifications parallèlement au RAT, enregistrant quand chaque ligne a été révisée pour la dernière fois et ce qui a changé, fournit une piste d'audit démontrant une responsabilité continue et est perçue positivement par les autorités de contrôle lors des inspections.

Sources

  • EUR-Lex, Règlement (UE) 2016/679 (RGPD), article 30 : https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679
  • Comité européen de la protection des données, Lignes directrices sur les notions de responsable du traitement et de sous-traitant dans le RGPD : https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-072020-concepts-controller-and-processor_en
  • CNIL, Le registre des activités de traitement : https://www.cnil.fr/fr/RGDP-le-registre-des-activites-de-traitement

Cet article est fourni à titre informatif uniquement et ne constitue pas un avis juridique. Consultez un conseiller juridique qualifié avant de prendre des décisions en matière de conformité.

Key takeaways: Registre des activités de traitement RGPD : Guide pratique

This article covers: Ce qu'est un RAT, Qui est exempté, Ce que doit contenir le RAT du responsable du traitement (article 30, paragraphe 1).

  • Ce qu'est un RAT
  • Qui est exempté
  • Ce que doit contenir le RAT du responsable du traitement (article 30, paragraphe 1)
  • Ce que doit contenir le RAT du sous-traitant (article 30, paragraphe 2)
  • Structure pratique : Organiser par activité de traitement
Source: EuroComply Editorial (2026-04-14)Reviewed:
EC

EuroComply Editorial Team

EU regulatory compliance specialists covering the AI Act, GDPR, NIS2, and related legislation. Content reviewed against official EU regulation texts and enforcement guidance.

For informational purposes only. Consult qualified legal counsel.

Share:

Get the weekly EU compliance briefing — 2 minutes, every Thursday.

See how your site scores

Run a free EU compliance scan — no signup, 30 seconds.