Académique Documents
Professionnel Documents
Culture Documents
de
Registre des activités de traitement
AVERTISSEMENT :
Le présent document a vocation à aider les entreprises de moins de 250 salariés dans
l’élaboration de leur registre des activités de traitement. Il est calibré pour une entreprise
n’effectuant pas d’actions de communication non-commerciale, n’ayant ni parc immobilier à
gérer, ni de système de badges d’accès, ni de procédure d’écoute et d’enregistrement des
conversations téléphoniques sur le lieu de travail.
Le modèle ci-après n’a qu’une simple valeur d’exemple et n’a aucunement la prétention d’être
exhaustif.
Toute entreprise souhaitant utiliser le présent document doit donc s’assurer au préalable de son
adéquation à sa situation et ses besoins particuliers et en faire l’usage sous sa seule
responsabilité.
Téléphone
Adresse de messagerie
CP VILLE
Téléphone
Adresse de messagerie
Activité 5 Géolocalisation
Activité 6 Vidéosurveillance
2
Activité 8 Comptabilité générale
Vous devrez créer et tenir à jour une fiche de registre par activité.
Objectifs poursuivis
Décrivez clairement l’objet du traitement de données personnelles et ses fonctionnalités.
1. Salariés ;
2. (le cas échéant) Apprentis, stagiaires, etc.
Nom, nom marital, prénoms, sexe, date et lieu de naissance, photographie (pour carte BTP), numéro de
sécurité sociale dans les conditions fixées par le décret n° 91-1404 du 27 décembre 1991 (déclarations,
calculs de cotisations et versements destinés aux organismes sociaux et fiscaux) ou par l'article L. 3341-
3
6 du code du travail (livret d'épargne salariale), adresse ; numéros attribués par les organismes
d'assurances sociales, de retraite et de prévoyance, nationalité (Français, étranger).
X Vie personnelle
4
X Vie professionnelle
Lieu de travail, date d'entrée dans l'entreprise, ancienneté, emploi occupé et coefficient hiérarchique,
nature du contrat de travail, taux d'invalidité, catégorie CDAPH (A, B, C), autres catégories de
bénéficiaires de l'article L. 5212-13 du Code du travail (invalide pensionné, mutilé de guerre, assimilé
mutilé de guerre).
Régime et base de calcul de la rémunération ; nature, taux et base des cotisations sociales, congés et
absences donnant lieu à retenues déductibles ou indemnisables ainsi que toute retenue légalement
opérée par l'employeur, frais professionnels, mode de règlement, identité bancaire ou postale.
X Autre durée :
La durée de conservation des informations n'excède pas celle prévue par les dispositions légales
applicables. Les informations nécessaires à l'établissement des droits du personnel, notamment des
droits à la retraite, sont conservées sans limitation de durée.
Organismes externes
1. Organismes gérant les différents systèmes d'assurances sociales, d'assurances chômage, de retraite
et de prévoyance, Caisses de congés payés ;
2. Organismes publics et administrations légalement habilités à recevoir les données ;
3. UCF-CIBTP (pour obtention de la carte BTP) ;
4. Organismes financiers intervenant dans la gestion des comptes de l'entreprise et du salarié.
5
Sous-traitants (à remplir par l’entreprise)
(Exemples : hébergeurs, prestataires et maintenance informatiques, experts comptables, etc.)
1. …………………………………………………………… 2. .……………………………………………………….
3 …………………………………………………………… 4. .……………………………………………………….
Oui Non
Dans des situations particulières (transfert vers un pays tiers non couvert par une décision d’adéquation de la
Commission européenne, et sans les garanties mentionnées aux articles 46 et47 du RGPD), des garanties
spécifiques devront être prévues et documentées dans le registre (article 49 du RGPD). Consultez le site de la
CNIL.
Le niveau de sécurité doit être adapté aux risques soulevés par le traitement. Les exemples suivants constituent
des garanties de base à prévoir et peuvent devoir être complétés.
6
Décrivez les modalités :
……………………………………..………………………..………………………..………………..……………………………..
……………………………………..………………………..………………………..………………..……………………………..
Chiffrement des données
Décrivez les mesures (exemple : site accessible en https, utilisation de TLS, etc.) :
……………………………………..………………………..………………………..………………..……………………………..
……………………………………..………………………..………………………..………………..……………………………..
Contrôle des sous-traitants
Décrivez les modalités :
……………………………………..………………………..………………………..………………..……………………………..
……………………………………..………………………..………………………..………………..……………………………..
Autres mesures :
……………………………………..………………………..………………………..………………..……………………………..
……………………………………..………………………..………………………..………………..……………………………..
……………………………………..………………………..………………………..………………..……………………………..
……………………………………..………………………..………………………..………………..……………………………..
7
Fiche de registre: Clients/prospects
(Reprise de l’activité 2 de la liste des activités)
Objectifs poursuivis
Décrivez clairement l’objet du traitement de données personnelles et ses fonctionnalités.
Opérations relatives à la gestion des clients concernant : les contrats ; les commandes ; les
livraisons ; les factures ; la comptabilité et en particulier la gestion des comptes clients ; (le cas
échéant) le suivi de la relation client tel que la réalisation d'enquêtes de satisfaction, la gestion
des réclamations et du service après-vente ;
Opérations relatives à la prospection (sollicitations, promotions, sondages, tests produits,
actions de fidélisation, etc.) ;
Élaboration de statistiques commerciales ;
Actualisation des fichiers de prospection par l'entreprise (en application des dispositions du
Code de la consommation liées à BLOCTEL) ;
(le cas échéant) Organisation de jeux concours, de loteries ou de toute opération promotionnelle
(à l'exclusion des jeux d'argent et de hasard en ligne soumis à l'agrément de l'Autorité de
Régulation des Jeux en Ligne) ;
Gestion des demandes d'exercice des droits légaux prévus par le RGPD ;
(le cas échéant) Gestion des avis des personnes sur des produits, services ou contenus.
1. Clients ;
2. Prospects ;
3. (le cas échéant) Utilisateurs de services de communication en ligne.
Civilité, nom, prénoms, adresse, numéro de téléphone (fixe et/ou mobile), numéro de télécopie,
adresses de courrier électronique, date de naissance, code interne de traitement permettant
l'identification du client. Une copie d'un titre d'identité peut être conservée aux fins de preuve de
l'exercice des droits légaux prévus par le RGPD ou pour répondre à une obligation légale.
8
X Vie personnelle
Vie maritale, nombre de personnes composant le foyer, nombre et âge du ou des enfant(s) au foyer,
profession, domaine d'activité, catégorie socioprofessionnelle.
X Informations d’ordre économique et financier
Relevé d'identité postale ou bancaire, numéro de chèque, numéro de carte bancaire, date de fin de
validité de la carte bancaire, cryptogramme visuel, modalités de règlement, remises consenties, reçus,
soldes et impayés et informations relatives aux crédits souscrits (montant et durée, nom de l'organisme
prêteur) en cas de financement de la commande par crédit, numéro de la transaction, détail de l'achat,
de l'abonnement, du bien ou du service souscrit.
(le cas échéant) Organisation et au traitement des jeux concours, de loteries et de toute
opération promotionnelle : Date de participation, réponses apportées aux jeux concours et nature
des lots offerts.
(le cas échéant) Utilisation d'un service de communication en ligne ( site internet) : Données
du profil utilisateur (ex : pseudonyme), données de connexion (date, heure, adresse internet,
caractéristiques techniques du terminal de l'utilisateur, pages consultées) et avis/contenu postés en
ligne
X Autre durée :
9
(le cas échéant) Utilisation d'un service de communication en ligne ( site internet) :
Suppression du compte par l'utilisateur ou après [insérer durée raisonnable pour l'entreprise]
d'inutilisation du compte. Les données collectées via des Cookies sont supprimées après 13 mois.
Organismes externes
1. Pouvoirs publics.
1. …………………………………………………………… 2. .……………………………………………………….
3 …………………………………………………………… 4. .……………………………………………………….
Oui Non
Dans des situations particulières (transfert vers un pays tiers non couvert par une décision d’adéquation de la
Commission européenne, et sans les garanties mentionnées aux articles 46 et47 du RGPD), des garanties
spécifiques devront être prévues et documentées dans le registre (article 49 du RGPD). Consultez le site de la
CNIL.
Le niveau de sécurité doit être adapté aux risques soulevés par le traitement. Les exemples suivants constituent
des garanties de base à prévoir et peuvent devoir être complétés.
10
……………………………………..………………………..………………………..………………..……………………………..
……………………………………..………………………..………………………..………………..……………………………..
Mesures de protection des logiciels (antivirus, mises à jour et correctifs de sécurité, tests,
etc.)
Décrivez les mesures :
……………………………………..………………………..………………………..………………..……………………………..
……………………………………..………………………..………………………..………………..……………………………..
11
Fiche de registre : Gestion des fournisseurs
(Reprise de l’activité 3 de la liste des activités)
Objectifs poursuivis
Décrivez clairement l’objet du traitement de données personnelles et ses fonctionnalités.
Opérations administratives liées aux contrats, aux commandes, aux réceptions, aux factures,
aux règlements, à la comptabilité pour ce qui a trait à la gestion des comptes fournisseurs ;
Établissement des titres de paiement (traites, LCR, chèques, billets à ordre) ;
(le cas échéant) Établissement des statistiques financières et de chiffre d’affaires par
fournisseur ;
Fourniture de sélections de fournisseurs pour les besoins de l’entreprise ;
Entretien d'une documentation sur les fournisseurs.
1. Fournisseurs de l’entreprise
Nom ou raison sociale, prénoms, adresse (siège social, lieu de facturation), code d’identification
comptable, téléphone, fax, adresse de courrier électronique, numéro SIREN.
X Vie professionnelle
12
les commandes et les factures, articles, produits, services faisant l’objet de la commande
et de la facture, quantité, prix, numéro, date et montant de la commande et de la
facture, échéance de la facture, conditions de livraison ;
paiement, conditions et modalités de règlement (moyen de paiement, références bancaires
ou postales, remises, acomptes, ristournes), conditions de crédit, durée ;
impayés, avoirs, reçus ;
retenues ou oppositions.
1. Personnels chargés du service des achats, des services administratifs et comptables, leurs supérieurs
hiérarchiques ainsi que les personnes liées contractuellement à l’entreprise pour assurer sa
comptabilité ;
2. (le cas échéant) Personnes chargées du contrôle (service chargé des procédures internes de
contrôle).
Organismes externes
1. …………………………………………………………… 2. .……………………………………………………….
3 …………………………………………………………… 4. .……………………………………………………….
13
Oui Non
Dans des situations particulières (transfert vers un pays tiers non couvert par une décision d’adéquation de la
Commission européenne, et sans les garanties mentionnées aux articles 46 et47 du RGPD), des garanties
spécifiques devront être prévues et documentées dans le registre (article 49 du RGPD). Consultez le site de la
CNIL.
Le niveau de sécurité doit être adapté aux risques soulevés par le traitement. Les exemples suivants constituent
des garanties de base à prévoir et peuvent devoir être complétés.
14
Décrivez les modalités :
……………………………………..………………………..………………………..………………..……………………………..
……………………………………..………………………..………………………..………………..……………………………..
Autres mesures :
……………………………………..………………………..………………………..………………..……………………………..
……………………………………..………………………..………………………..………………..……………………………..
……………………………………..………………………..………………………..………………..……………………………..
……………………………………..………………………..………………………..………………..……………………………..
15
Fiche de registre : Ressources humaines
(Reprise de l’activité 4 de la liste des activités)
Objectifs poursuivis
Décrivez clairement l’objet du traitement de données personnelles et ses fonctionnalités.
Nom, prénom, photographie (facultatif), sexe, date et lieu de naissance, nationalité, coordonnées
professionnelles, coordonnées personnelles ; Type, numéro d'ordre et copie du titre valant autorisation
de travail pour les employés étrangers hors U.E. ; Parcours professionnel (CV), recommandations,
informations diverses éventuellement contenues dans le CV et la lettre de motivation (situation
familiale, loisirs, etc.).
16
X Etat-civil, identité, données d'identification, images des employés.
Nom, prénom, photographie (facultatif, sauf en ce qui concerne la carte BTP), sexe, date et lieu de
naissance, nationalité, coordonnées professionnelles, coordonnées personnelles, références du
passeport (uniquement pour les personnels amenés à se déplacer à l'étranger) ; Type, numéro d'ordre et
copie du titre valant autorisation de travail pour les employés étrangers hors U.E. ; Le cas échéant,
coordonnées des personnes à prévenir en cas d'urgence.
Organisation du travail :
Annuaires internes et organigrammes : nom, prénom, photographie (facultatif), fonction,
coordonnées professionnelles, le cas échéant, formation et réalisations professionnelles ;
Agendas professionnels : dates, lieux et heures des rendez-vous professionnels, objet,
personnes présentes ;
Tâches des personnels : identification des personnels concernés, répartition des tâches ;
Gestion des dotations individuelles en fournitures, équipements, véhicules et
cartes de paiement : gestion des demandes, nature de la dotation, dates de dotation, de
maintenance et de retrait, affectations budgétaires ;
17
Annuaires informatiques permettant de définir les autorisations d'accès aux
applications et aux réseaux ;
Données de connexion enregistrées pour assurer la sécurité et le bon
fonctionnement des applications et des réseaux informatiques ;
Messagerie électronique : carnet d'adresses, comptes individuels ;
(le cas échéant) Réseaux privés virtuels de diffusion ou de collecte de données de
gestion administrative des personnels (intranet) : formulaires administratifs internes,
organigrammes, espaces de discussion, espaces d'information.
Utilisation des services de téléphonie : Nom, prénom, fonction, service, adresses professionnelles
y compris électronique, numéro de ligne, numéro de téléphone appelé, service utilisé, opérateur
appelé, nature de l’appel (sous la forme : local, départemental, national, international), durée,
date et heure de début et de fin d’appel, éléments de facturation (nombre de taxes, volume et
nature des données échangées à l’exclusion du contenu de celles-ci et coût du service utilisé).
Si oui, lesquelles ? :
X Autre durée :
18
Etat-civil, identité, données d'identification, images des employés/ Gestion
administrative de l’employé / Organisation du travail / Action sociale et représentation
du personnel : Le temps de la période d'emploi de la personne concernée (sauf dispositions
législatives ou réglementaires contraires). Au-delà, ces données sont archivées sur un support
informatique distinct et à accès très limité, conformément aux règles applicables en matière d'archives
publiques et d'archives privées.
Utilisation des services de téléphonie : Délai prévu à l’article L. 34-2 du code des postes et des
communications électroniques, à savoir un an courant à la date de l’exigibilité des sommes dues en
paiement des prestations des services de téléphonie.
Oui Non
Dans des situations particulières (transfert vers un pays tiers non couvert par une décision d’adéquation de la
Commission européenne, et sans les garanties mentionnées aux articles 46 et47 du RGPD), des garanties
19
spécifiques devront être prévues et documentées dans le registre (article 49 du RGPD). Consultez le site de la
CNIL.
Le niveau de sécurité doit être adapté aux risques soulevés par le traitement. Les exemples suivants constituent
des garanties de base à prévoir et peuvent devoir être complétés.
20
……………………………………..………………………..………………………..………………..……………………………..
……………………………………..………………………..………………………..………………..……………………………..
……………………………………..………………………..………………………..………………..……………………………..
……………………………………..………………………..………………………..………………..……………………………..
21
Fiche de registre : Géolocalisation
(Reprise de l’activité 5 de la liste des activités)
Objectifs poursuivis
Décrivez clairement l’objet du traitement de données personnelles et ses fonctionnalités.
(le cas échéant) Respect d’une obligation légale ou réglementaire imposant la mise en œuvre
d’un dispositif de géolocalisation en raison du type de transport ou de la nature des biens
transportés;
(le cas échéant) Suivi et facturation d’une prestation de transport de personnes ou de
marchandises ou d’une prestation de services directement liée à l’utilisation du véhicule ;
Sûreté ou sécurité de l’employé lui-même ou des marchandises ou véhicules dont il a la charge ;
Meilleure allocation des moyens pour des prestations à accomplir en des lieux dispersés,
notamment pour des interventions d’urgence ;
Suivi du temps de travail, lorsque ce suivi ne peut être réalisé par d’autres moyens (sous réserve
notamment de ne pas collecter ou traiter de données de localisation en dehors du temps de
travail des employés concernés).
22
Déplacements de l’employé : Données de localisation issues de l'utilisation d'un dispositif de
géolocalisation, historique des déplacements effectués en dehors des trajets effectués entre le domicile
de l'employé et le lieu de travail et pendant ses temps de pause.
X Autre durée :
1. Personnes qui coordonnent, planifient ou suivent les interventions, celles qui sont chargées de la
sécurité des biens transportés ou des personnes ou, le cas échéant, le responsable des ressources
humaines.
1. ……………………………………………………………….. ;
Oui Non
23
Si oui, vers quel(s) pays : ………….………………………………………………………………………..…………………..
Dans des situations particulières (transfert vers un pays tiers non couvert par une décision d’adéquation de la
Commission européenne, et sans les garanties mentionnées aux articles 46 et47 du RGPD), des garanties
spécifiques devront être prévues et documentées dans le registre (article 49 du RGPD). Consultez le site de la
CNIL.
Le niveau de sécurité doit être adapté aux risques soulevés par le traitement. Les exemples suivants constituent
des garanties de base à prévoir et peuvent devoir être complétés.
24
……………………………………..………………………..………………………..………………..……………………………..
……………………………………..………………………..………………………..………………..……………………………..
Autres mesures :
……………………………………..………………………..………………………..………………..……………………………..
……………………………………..………………………..………………………..………………..……………………………..
……………………………………..………………………..………………………..………………..……………………………..
……………………………………..………………………..………………………..………………..……………………………..
25
Fiche de registre : Vidéosurveillance
(Reprise de l’activité 6 de la liste des activités)
Objectifs poursuivis
Décrivez clairement l’objet du traitement de données personnelles et ses fonctionnalités.
Surveillance des accès aux locaux de l'entreprise afin d'assurer la sécurité des biens et des
personnes (préciser la position des caméras).
1. Employés de l’entreprise ;
2. Visiteurs.
1 mois.
26
Sous-traitants (à préciser par l’entreprise)
1. ……………………………………………………………….. ;
Oui Non
Dans des situations particulières (transfert vers un pays tiers non couvert par une décision d’adéquation de la
Commission européenne, et sans les garanties mentionnées aux articles 46 et47 du RGPD), des garanties
spécifiques devront être prévues et documentées dans le registre (article 49 du RGPD). Consultez le site de la
CNIL.
Le niveau de sécurité doit être adapté aux risques soulevés par le traitement. Les exemples suivants constituent
des garanties de base à prévoir et peuvent devoir être complétés.
27
……………………………………..………………………..………………………..………………..……………………………..
Chiffrement des données
Décrivez les mesures (exemple : site accessible en https, utilisation de TLS, etc.) :
……………………………………..………………………..………………………..………………..……………………………..
……………………………………..………………………..………………………..………………..……………………………..
Contrôle des sous-traitants
Décrivez les modalités :
……………………………………..………………………..………………………..………………..……………………………..
……………………………………..………………………..………………………..………………..……………………………..
Autres mesures :
……………………………………..………………………..………………………..………………..……………………………..
……………………………………..………………………..………………………..………………..……………………………..
……………………………………..………………………..………………………..………………..……………………………..
……………………………………..………………………..………………………..………………..……………………………..
28
Fiche de registre : Gestion des contraventions
(Reprise de l’activité 7 de la liste des activités)
Objectifs poursuivis
Décrivez clairement l’objet du traitement de données personnelles et ses fonctionnalités.
1. Employés de l’entreprise ;
2. Représentants sociaux de l’entreprise ;
3. Autres conducteurs potentiels (à préciser).
1) Le nom, le nom d'usage, le(s) prénom(s), le sexe et, le cas échéant, la civilité de la personne ;
2) la date et le lieu de naissance ;
3) la nationalité ;
4) l'adresse postale et, le cas échéant, l'adresse électronique ;
5) le cas échéant, la fonction de la personne ;
6) le numéro, la date et le lieu d'obtention du permis de conduire ;
7) le numéro d'immatriculation du véhicule concerné.
Données complémentaires :
29
1) le nom, le prénom et les coordonnées du représentant du responsable de traitement et, le cas
échéant, d'un contact au sein de l'organisme concerné ;
2) le numéro et la date de l'avis de contravention ;
3) le cas échéant, la date et heure du début de location et la date et heure de fin de location ;
4) le cas échéant, la date et heure de l'infraction ;
5) le cas échéant, la copie de l'avis de contravention.
X Autre durée :
45 jours à compter de la réception de l'avis de contravention. A l'issue de cette période, les données
peuvent être archivées, en archivage intermédiaire, au maximum le temps de la prescription en matière
contraventionnelle, à savoir douze mois. Les données anonymisées peuvent être conservées sans
limitation de durée. Dans l'hypothèse d'une désignation automatisée et de la conclusion d'une
convention avec l'ANTAI, les traces des requêtes effectuées par l'ANTAI sur les conducteurs de
véhicules ayant commis une infraction au code de la route sont détruites après le retour d'information à
l'ANTAI.
Organismes externes
1. ANTAI
Oui Non
30
Dans des situations particulières (transfert vers un pays tiers non couvert par une décision d’adéquation de la
Commission européenne, et sans les garanties mentionnées aux articles 46 et47 du RGPD), des garanties
spécifiques devront être prévues et documentées dans le registre (article 49 du RGPD). Consultez le site de la
CNIL.
Le niveau de sécurité doit être adapté aux risques soulevés par le traitement. Les exemples suivants constituent
des garanties de base à prévoir et peuvent devoir être complétés.
32
Fiche de registre : Comptabilité générale
(Reprise de l’activité 8 de la liste des activités)
Objectifs poursuivis
Décrivez clairement l’objet du traitement de données personnelles et ses fonctionnalités.
33
Catégories de destinataires des données
Destinataires internes
1. Services comptables et organismes habilités à recevoir les données en vertu des règles de
comptabilité.
1. ……………………………………………………………….. ;
Oui Non
Dans des situations particulières (transfert vers un pays tiers non couvert par une décision d’adéquation de la
Commission européenne, et sans les garanties mentionnées aux articles 46 et47 du RGPD), des garanties
spécifiques devront être prévues et documentées dans le registre (article 49 du RGPD). Consultez le site de la
CNIL.
Le niveau de sécurité doit être adapté aux risques soulevés par le traitement. Les exemples suivants constituent
des garanties de base à prévoir et peuvent devoir être complétés.
35