Registre des traitements - Fiche tutorielle

Pour faciliter la tenue du registre, la CNIL propose un modèle de registre de base destiné à répondre aux besoins
courants en matière de traitements de données, en particulier des petites structures.

Ce document vise à recenser les traitements de données personnelles mis en œuvre dans votre organisme en tant
responsable de traitement. Centralisé et régulièrement mis à jour, il vous permet de répondre à l’obligation de ten
registre prévue par le RGPD.

Votre registre sera finalement constitué d'une liste de traitement (onglet 2) et d'au moins une fic
registre (onglet 3)

► Pour plus d'informations sur les registres de traitement, vous pouvez consulter la page dédiée sur le site de la C

► Une fois le recensement de vos traitements effectué, vous serez en mesure d'identifier les actions à mener pour

Besoin d'aide avec le RGPD ?

► N'hésitez pas à consulter le Guide pratque de sensibilisaton au RGPD, disponible sur le site de la CNIL.

Dans certains cas, des commentaires seront proposés pour vous aider à compléter votre registre (triangle roug
cellule).

Composition du document

► Onglet 2 "Liste des traitements"

Cet onglet vous permet de lister toutes les activités de votre organisme qui nécessitent de traiter des données per
Avec cette liste, vous aurez une première vision d'ensemble sur vos traitements de données.

► Onglet 3 "Modèle de fiche de registre"

Vous devez créer et tenir à jour une fiche de registre par activité. Dupliquez et complétez autant de fois que néces
modèle de fiche.

► Onglet 4 "Exemple de fiche de registre"

Cette partie propose un exemple possible de mise en page et de saisie du registre. Cet exemple est basé sur un tra
fictif, qu'il ne faut pas reprendre tel quel mais à adapter en fonction de votre traitement.
ments - Fiche tutorielle

èle de registre de base destiné à répondre aux besoins les plus

ier des petites structures.

rsonnelles mis en œuvre dans votre organisme en tant que

à jour, il vous permet de répondre à l’obligation de tenir un

e de traitement (onglet 2) et d'au moins une fiche de

vous pouvez consulter la page dédiée sur le site de la Cnil.

s serez en mesure d'identifier les actions à mener pour vous mettre en conformité.

r vous aider à compléter votre registre (triangle rouge dans la

on du document

e organisme qui nécessitent de traiter des données personnelles.

e sur vos traitements de données.

tivité. Dupliquez et complétez autant de fois que nécessaire ce

et de saisie du registre. Cet exemple est basé sur un traitement

fonction de votre traitement.
Coordonnées du responsable de Nom : Prénom : Adresse : Adresse mél :
l’organisme
(responsable de traitement ou son
représentant si le responsable est
situé en dehors de l’UE) Code postal : Ville : Téléphone :

Coordonnées du représentant Nom : Prénom : Adresse : Adresse mél :

(responsable de traitement ou son
représentant si le responsable est
situé en dehors de l’UE) Code postal : Ville : Téléphone :

Nom : Prénom : Société (si DPO Adresse :

externe) :
Coordonnées du délégué à la
protection des données (DPO)
Code postal : Ville : Téléphone : Adresse mél :

Identification du traitement Finalité du traitement Données sensibles ?

Date de Dernière
Nom du traitement N° / RÉF création de mise à jour Oui/non
la fiche de la fiche
Gestion de la paie, Calcul des rémunérations, Calcul
(EXEMPLE) Gestion de la paie 1 - Exemple 26/05/2018 13/05/2019 du montant des versements adressés aux organismes Non
sociaux
 Consulter les guides et définitions sur le
site de la CNIL

► Délégué à la protection des données (DPO)

► Données sensibles

► Finalité du traitement

nnées sensibles ?

Oui/non

Non
Modèle de fiche de registre à compléter
Cet onglet est un modèle de fiche opérationnelle à reprendre, adapter et compléter selon votre activité pour chaque traitement.
Dans certains cas, des commentaires seront proposés pour vous aider à compléter votre registre (triangle rouge dans la cellule).

Description du traitement

Nom du traitement

N° / RÉF ref-001

Date de création du traitement

Mise à jour du traitement

Acteurs Nom Adresse Code Postal

Responsable du traitement

Délégué à la protection des données

Société du DPO (si celui-ci est externe)

Représentant

Responsable(s) conjoint(s)

Finalité(s) du traitement effectué

Finalité principale

Sous-finalité 1

Sous-finalité 2

Sous-finalité 3

Sous-finalité 4

Sous-finalité 5

Page 7 de
 Catégories de données personnelles concernées Description

État civil, identité, données d'identification, images…

Vie personnelle (habitudes de vie, situation familiale, etc.)

Informations d'ordre économique et financier (revenus,
situation financière, situation fiscale, etc.)
Données de connexion (adress IP, logs, etc.)
Données de localisation (déplacements, données GPS,
GSM, etc.)
Numéro de Sécurité Sociale (ou NIR)

Page 8 de
 Données sensibles Description

Données révélant l'origine raciale ou ethnique

Données révélant les opinions politiques

Données révélant les convictions religieuses ou
philosophiques
Données révélant l'appartenance syndicale

Données génétiques
Données biométriques aux fins d'identifier une personne
physique de manière unique
Données concernant la santé
Données concernant la vie sexuelle ou l'orientation
sexuelle
Données relatives à des condamnations pénales ou
infractions

Catégories de personnes concernées Description

Catégorie de personnes 1 Sélectionnez un élément dans cette liste déroulante ►

Catégorie de personnes 2

Destinataires Type de destinataire

Destinataire 1 Sélectionnez un élément dans cette liste déroulante ►

Destinataire 2

Destinataire 3

Destinataire 4

Mesures de sécurité Type de mesure de sécurité

Page 9 de
 Mesure de sécurité 1 Sélectionnez un élément dans cette liste déroulante ►

Mesure de sécurité 2

Mesure de sécurité 3

Transferts hors UE Destinataire Pays Type de Garan

Sélectionnez un élément dans Sélectionnez un élémen

Organisme destinataire 1 cette liste déroulante ► liste déroulante ►

Organisme destinataire 2

Organisme destinataire 3

Organisme destinataire 4

Page 10 de
Ville Pays Téléphone

Page 11 de
Durée de conservation

Page 12 de
Durée de conservation

Précisions

Précisions

Précisions

Page 13 de
de Garanties Liens vers la documentation

élément dans cette

►

Page 14 de
 Consulter les guides et définitions sur le site
ref-001 de la CNIL
► Traitement de données à caractère personnel

► Délégué à la protection des données (DPO)

► Données personnelles

► Responsable de traitement

► Données sensibles

► Finalité du traitement
► Destinataires

Adresse mél ► Transfert de données

► Durée de conservation de données

► Sécurité des données

Page 15 de
Page 16 de
Page 17 de
entation

Page 18 de
Exemple de fiche de registre
Cet exemple est basé sur un traitement fictif qu'il ne faut pas reprendre tel quel. Adaptez-le à vos activités (cf. onglet 3).

Description du traitement

Nom du traitement Gestion de la paie

N° / RÉF 1 - Exemple

Date de création du traitement 26/05/2018

Mise à jour du traitement 13/05/2019

Acteurs Nom Adresse Code Postal

Responsable du traitement Louise DUPONT 1 rue Rivoli 75001

Délégué à la protection des données Martin HENRI 1 rue Rivoli 75001

Société du DPO (si celui-ci est externe) N/A

Finalité(s) du traitement effectué

Finalité principale Gestion de la paie

Sous-finalité 1 Calcul des rémunérations

Sous-finalité 2 Calcul du montant des versements adressés aux organismes sociaux

Sous-finalité 3 Ordre de virement à la banque

Catégories de données personnelles concernées Description

État civil, identité, données d'identification, images… Noms, prénoms, adresses

Page 19 de
Informations d'ordre économique et financier (revenus,
RIB
situation financière, situation fiscale, etc.)

Numéro de Sécurité Sociale (ou NIR) Numéros de sécurité sociale des salariés

Page 20 de
Catégories de personnes concernées Description

Catégorie de personnes 1 Salariés

Destinataires Type de destinataire

Destinataire 1 Service interne qui traite les données

Destinataire 2 Partenaires institutionnels ou commerciaux

Destinataire 3 Destinataires dans des pays tiers ou organisations internationales

Mesures de sécurité Type de mesure de sécurité

Mesure de sécurité 1 Mesures de protection des logiciels

Mesure de sécurité 2 Sauvegarde des données

Mesure de sécurité 3 Contrôle d'accès des utilisateurs

Transferts hors UE Destinataire Pays Type de Garantie

Organisme destinataire 1 Banque d'Andorre Andorre Clauses contractuelles typ

Page 21 de
 Ville Pays Téléphone

Paris France 01 xx xx xx xx

Paris France 01 xx xx xx xx

Durée de conservation

5 ans à compter du versement de la paie

Page 22 de
5 ans à compter du versement de la paie

5 ans à compter du versement de la paie

Page 23 de
 Précisions

Précisions

Dir. Administrative et Financière

Organismes sociaux

Banque d'Andorre

Précisions

de Garanties Liens vers la documentation

tuelles types (CCT) Contrat en date du 23/01/2018

Page 24 de
 Consulter les guides et définitions sur le site
1 - Exemple de la CNIL
► Traitement de données à caractère personnel

► Délégué à la protection des données (DPO)

► Données personnelles

► Responsable de traitement

► Données sensibles

► Finalité du traitement
► Destinataires

Adresse mél ► Transfert de données

exemple1@ets.com ► Durée de conservation de données

exemple2@ets.com ► Sécurité des données

Page 25 de
Page 26 de
mentation

Page 27 de