L'une des croyances les plus répandues — et les plus dangereuses — chez les PME est que le Registre des activités de traitement (RAT) n'est obligatoire que pour les grandes entreprises. Cette confusion a un fondement réel : l'article 30.5 du RGPD mentionne une exemption pour les organisations de moins de 250 salariés. Le problème, c'est que presque personne ne lit la seconde moitié de la phrase, celle qui annule l'exemption dans l'immense majorité des cas. Un cabinet de conseil de huit personnes qui gère les fiches de paie de ses clients, ou une clinique de cinq professionnels qui traite des données de santé, effectuent des traitements qui ne sont pas « occasionnels » ou qui impliquent des catégories particulières de données : l'exemption ne leur est tout simplement pas applicable. Cet article déconstruit ce mythe, explique qui est réellement tenu de conserver le RAT — en tant que responsable et en tant que sous-traitant — et détaille, rubrique par rubrique, comment construire un registre qui tienne réellement face à une inspection de l'AEPD, et non un simple document d'archive.
Qu'est-ce que le RAT et pourquoi est-il la pierre angulaire de la responsabilité proactive
Le Registre des activités de traitement est l'inventaire documenté de l'ensemble des traitements de données personnelles réalisés par une organisation : quelles données elle traite, dans quel but, à qui elle les communique, combien de temps elle les conserve et quelles mesures de sécurité elle applique. Ce n'est pas un simple formulaire administratif de plus : c'est la traduction concrète du principe de responsabilité proactive de l'article 5.2 du RGPD, qui exige que le responsable puisse démontrer le respect des principes du traitement, et pas seulement le déclarer. Sans RAT à jour, une organisation ne peut pas prouver à l'AEPD quelles données elle traite ni sur quelle base légale, ce qui fait de ce registre le premier document que l'Agence réclame lors de l'ouverture de toute procédure d'investigation.
Le RAT n'est pas non plus un document isolé : les analyses d'impact (art. 35), l'analyse des risques, la réponse aux demandes d'exercice de droits et la notification des violations de sécurité elle-même dépendent de l'identification précise des traitements, de leurs finalités et de leurs destinataires. Un RAT mal construit ne se contente pas d'enfreindre l'article 30 : il entraîne des erreurs sur toute la chaîne de conformité.
Le mythe de l'exemption pour les moins de 250 salariés : ce que dit vraiment l'article 30.5
L'article 30.5 du RGPD dispose que les obligations des paragraphes 1 et 2 — tenir le registre en tant que responsable ou en tant que sous-traitant — ne s'appliquent pas à une entreprise ou une organisation de moins de 250 salariés, sauf si l'une de ces trois circonstances est présente :
- Le traitement effectué est susceptible de comporter un risque pour les droits et libertés des personnes concernées.
- Le traitement n'est pas occasionnel.
- Le traitement porte sur des catégories particulières de données au sens de l'article 9.1 du RGPD (santé, origine ethnique, appartenance syndicale, orientation sexuelle, données biométriques, entre autres) ou des données relatives aux condamnations pénales et aux infractions de l'article 10.
La clé se trouve dans la deuxième condition, « le traitement n'est pas occasionnel », car en pratique presque aucune PME n'y échappe. Gérer la paie des salariés, tenir une base de données clients, traiter des candidatures de recrutement ou envoyer des communications commerciales périodiques sont des traitements structurels, récurrents, non occasionnels par définition. Il suffit qu'un seul des traitements de l'organisation remplisse l'une des trois conditions pour que l'obligation de tenir le RAT naisse pour ce traitement — et, en pratique, l'approche raisonnable et défendable consiste à documenter l'ensemble des traitements de l'organisation, pas seulement celui qui déclenche techniquement l'obligation. L'Agence espagnole de protection des données le confirme dans ses lignes directrices : l'exemption de l'article 30.5 a, en pratique, une portée très limitée et ne doit pas être interprétée comme une dispense générale pour les PME. Autrement dit : si votre entreprise a des salariés en paie, des clients dont vous détenez les coordonnées, ou un formulaire web qui collecte régulièrement des données personnelles, vous avez besoin d'un RAT, que vous ayez 3 salariés ou 200.
Qui est tenu de tenir le RAT : responsable et sous-traitant sont des registres distincts
L'article 30 du RGPD n'impose pas une obligation unique, mais deux registres parallèles au contenu différent, selon le rôle joué par l'organisation vis-à-vis de chaque traitement :
- En tant que responsable du traitement (art. 30.1) : l'organisation qui décide des finalités et des moyens du traitement — l'entreprise qui collecte les données de ses propres clients ou salariés — doit tenir un registre de toutes les activités de traitement effectuées sous sa responsabilité.
- En tant que sous-traitant (art. 30.2) : l'organisation qui traite des données pour le compte d'un tiers — un cabinet comptable qui traite les fiches de paie de ses clients, un prestataire logiciel qui héberge les données des utilisateurs d'une autre entreprise — doit tenir un registre de toutes les catégories d'activités de traitement effectuées pour le compte de chaque responsable.
De nombreuses organisations occupent simultanément les deux rôles selon le traitement concerné : un cabinet de conseil est responsable des données de ses propres salariés, mais sous-traitant des données de paie qu'il gère pour ses clients. Confondre les deux figures — ou tenir un unique registre générique sans distinguer le rôle joué dans chaque traitement — est l'une des erreurs que nous détectons le plus fréquemment lors de l'audit de conformité de nouveaux clients. Si vous avez un doute sur le rôle joué par votre organisation, notre guide sur sous-traitant vs. responsable du traitement : différences clés développe cette distinction avec des exemples pratiques.
Comment structurer le RAT en tant que responsable du traitement : rubrique par rubrique
L'article 30.1 du RGPD détaille le contenu minimal devant figurer dans le registre lorsque l'organisation agit en tant que responsable. Un RAT complet, capable de résister à une inspection, doit inclure, pour chaque activité de traitement :
- Identification du responsable : nom et coordonnées du responsable et, le cas échéant, du responsable conjoint, du représentant du responsable et du délégué à la protection des données.
- Finalités du traitement : le motif concret pour lequel les données sont traitées — gestion de la paie, facturation, envoi de communications commerciales, vidéosurveillance, contrôle d'accès — en évitant des descriptions génériques comme « gestion administrative ».
- Description des catégories de personnes concernées et de données personnelles : qui sont les titulaires des données (salariés, clients, candidats, fournisseurs) et quel type de données est traité pour chaque catégorie (identification, économiques, santé, biométriques).
- Catégories de destinataires auxquels les données ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales.
- Transferts internationaux de données, le cas échéant, avec l'identification du pays ou de l'organisation internationale destinataire et la documentation des garanties appliquées (décision d'adéquation, clauses contractuelles types ou autre mécanisme du chapitre V du RGPD).
- Délais prévus pour l'effacement des différentes catégories de données, lorsqu'il est possible de les déterminer.
- Description générale des mesures techniques et organisationnelles de sécurité appliquées conformément à l'article 32.1 du RGPD (chiffrement, contrôle d'accès, sauvegardes, politiques de mots de passe, entre autres).
À cette liste minimale, il convient d'ajouter en pratique deux colonnes supplémentaires qui facilitent la gestion quotidienne de la conformité : la base légale du traitement (consentement, exécution d'un contrat, obligation légale, intérêt légitime, entre autres au titre de l'article 6 du RGPD) et l'origine des données, en particulier lorsqu'elles ne sont pas collectées directement auprès de la personne concernée. Aucune des deux n'est une exigence littérale de l'article 30.1, mais toutes deux sont quasiment indispensables pour répondre rapidement à une demande d'exercice de droits ou à une analyse d'impact.
Comment structurer le RAT en tant que sous-traitant : rubrique par rubrique
Lorsque l'organisation traite des données pour le compte d'un tiers, l'article 30.2 du RGPD exige un registre au contenu adapté à cette position :
- Identification du sous-traitant ou des sous-traitants et de chaque responsable pour le compte duquel il agit, ainsi que, le cas échéant, du représentant du responsable ou du sous-traitant et du délégué à la protection des données.
- Catégories de traitements effectués pour le compte de chaque responsable, sans nécessité de détailler chaque finalité concrète du responsable, mais en précisant le type d'opération réalisée (hébergement de données, traitement de la paie, envoi de communications, support technique avec accès aux données).
- Transferts internationaux de données vers un pays tiers ou une organisation internationale, le cas échéant, avec la même exigence de documenter les garanties appliquées que dans le registre du responsable.
- Description générale des mesures techniques et organisationnelles de sécurité de l'article 32.1 appliquées aux traitements réalisés pour le compte du responsable.
Contrairement au registre du responsable, celui du sous-traitant n'exige pas de détailler les catégories de personnes concernées et de données personnelles, ni les délais d'effacement, car ces informations relèvent proprement du responsable, qui décide des finalités du traitement. Il est néanmoins recommandé que le contrat de sous-traitance (art. 28 RGPD) fasse un renvoi croisé entre le RAT du sous-traitant et celui du responsable, afin que les deux documents restent cohérents entre eux lors d'une inspection conjointe.
Format, support et disponibilité vis-à-vis de l'autorité de contrôle
L'article 30.3 du RGPD exige que les registres — aussi bien celui du responsable que celui du sous-traitant — soient tenus par écrit, « y compris sous forme électronique », ce qui exclut en pratique un registre purement verbal ou informel, mais admet tout support documentaire : un tableur, un modèle dans un système de gestion documentaire, ou un module dédié au sein d'un outil de conformité. Il n'existe pas de format officiel obligatoire imposé par l'AEPD, bien que l'Agence publie elle-même un modèle indicatif utile comme point de départ.
L'article 30.4 ajoute une obligation de disponibilité, et non de publication : le responsable ou le sous-traitant doivent mettre le registre à la disposition de l'autorité de contrôle qui en fait la demande. Cela signifie que le RAT n'a pas à être publié sur le site web ni transmis d'office à l'AEPD, mais qu'il doit toujours être localisable et à jour, prêt à être présenté dans le délai fixé par l'Agence en cas d'inspection ou de traitement d'une réclamation. Un RAT qui existe mais dont personne ne sait où il se trouve enfreint en pratique cette obligation tout autant que l'absence totale de registre.
En Espagne, l'article 31 de la LOPDGDD réitère cette obligation et ajoute une nuance à connaître : les entités du secteur public énumérées à l'article 77.1 de cette même loi — administrations et organismes publics, entre autres — doivent, elles, rendre public un inventaire de leurs activités de traitement, accessible par voie électronique, avec les informations prévues à l'article 30 du RGPD et leur base légale (article 31.2 LOPDGDD).
Le RAT comme document vivant : le rôle du délégué à la protection des données
L'erreur la plus coûteuse lors de l'élaboration du RAT n'est pas de ne pas en avoir, mais de le traiter comme un livrable ponctuel : rédigé au moment de la souscription du service de mise en conformité au RGPD, puis archivé et jamais retouché. Un registre obsolète — qui ne reflète pas un nouveau prestataire de paie, un outil marketing récemment souscrit ou un nouveau traitement de vidéosurveillance — est tout aussi détectable lors d'une inspection que l'absence de registre, et donne en outre une image de désorganisation qui a tendance à aggraver l'appréciation de l'autorité en cas de procédure de sanction.
C'est ici qu'intervient le rôle du délégué à la protection des données au titre de l'article 39 du RGPD : parmi ses fonctions de conseil et de contrôle de la conformité figure celle de tenir à jour la cartographie des traitements de l'organisation, de revoir le RAT lorsqu'un nouveau prestataire est intégré ou qu'une finalité change, et de s'assurer que la documentation correspond à la réalité opérationnelle de l'entreprise, et non à une photographie figée du jour de l'audit initial. Un DPD externe bien structuré ne remet pas le RAT pour ensuite disparaître : il le révise périodiquement et le met à jour à chaque changement pertinent. Si votre entreprise ne dispose pas encore de cette fonction ou souhaite l'externaliser, découvrez comment nous structurons le service sur notre page DPD externe pour les organisations.
Erreurs fréquentes lors de l'élaboration du Registre des activités de traitement
Les défauts que nous détectons le plus fréquemment en révisant les registres existants de nouveaux clients suivent un schéma reconnaissable :
- Considérer d'emblée que l'exemption de l'article 30.5 s'applique sans analyser si l'un des traitements de l'organisation est non occasionnel ou implique des catégories particulières de données, ce qui est presque toujours le cas en pratique.
- Confondre le registre du responsable avec celui du sous-traitant, en les fusionnant dans un document unique sans distinguer le rôle de l'organisation dans chaque traitement.
- Des descriptions de finalité trop génériques, comme « gestion des données clients », qui ne permettent pas de justifier la base légale appliquée.
- Omettre les transferts internationaux, en particulier lors de l'utilisation d'outils marketing, d'analyse web ou de stockage cloud hébergés hors de l'Espace économique européen.
- Ne pas relier le RAT aux mesures de sécurité réelles appliquées, en décrivant des contrôles génériques qui ne correspondent pas à ce qui protège effectivement chaque traitement.
- Laisser le registre sans révision pendant des années, sans intégrer de nouveaux prestataires ou traitements apparus après sa rédaction initiale.
Ce que vous risquez en l'absence de RAT ou en cas de RAT obsolète
Le manquement à l'article 30 du RGPD est sanctionné au titre de l'article 83.4.a) du RGPD, qui prévoit des amendes pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. Ce niveau est le même que celui applicable à d'autres manquements « instrumentaux » du règlement — comme l'absence d'un DPD obligatoire ou d'une analyse d'impact lorsqu'elle est requise —, tandis que le niveau supérieur de l'article 83.5, jusqu'à 20 millions d'euros ou 4 %, est réservé aux infractions plus graves liées aux principes du traitement ou aux droits des personnes concernées.
Pour les PME, le principe de proportionnalité de l'article 83.1 module le montant final en fonction de la nature, de la gravité et de la durée de l'infraction. Mais l'absence de RAT donne rarement lieu à une sanction isolée : dans la pratique de l'AEPD, elle est généralement constatée dans le cadre d'une inspection déclenchée par une autre cause — une réclamation d'une personne concernée, une violation de sécurité — et aggrave le résultat de cette investigation, car elle révèle que l'organisation n'exerce aucun contrôle documenté sur ses propres traitements. Sur le plan interne, la LOPDGDD qualifie expressément l'absence du registre de l'article 30 d'infraction grave (article 73.n), le fait de ne pas le mettre à la disposition de l'autorité qui le demande également d'infraction grave (article 73.ñ), et la tenue d'un registre n'incorporant pas toutes les informations exigées d'infraction légère (article 74.l).
Combien coûte le maintien à jour d'un Registre des activités de traitement
Le coût d'élaboration et de maintien d'un RAT varie selon le nombre de traitements identifiés, la complexité de l'activité, le nombre de prestataires et sous-traitants impliqués, et selon que le service est souscrit comme document isolé ou dans le cadre d'un processus de mise en conformité au RGPD incluant une révision périodique. Il n'existe pas de tarif fixe de marché, et il n'est pas pertinent de fixer un prix générique sans connaître l'activité concrète de l'organisation. Pour connaître les facteurs qui déterminent le coût d'un DPD externe assurant, entre autres fonctions, la mise à jour du RAT, consultez notre guide prix du DPD externe : variables et fourchette indicative.
Tableau récapitulatif : le Registre des activités de traitement
| Aspect | Ce qu'exige la norme | Base légale |
|---|---|---|
| Obligation générale | Tenir un registre des activités de traitement propres (responsable) ou pour le compte de tiers (sous-traitant) | Art. 30.1 et 30.2 RGPD |
| Exemption pour moins de 250 salariés | Seulement si le traitement est occasionnel, ne comporte pas de risque et n'inclut pas de catégories particulières de données ni de données pénales ; portée très limitée en pratique | Art. 30.5 RGPD |
| Contenu du registre du responsable | Identification, finalités, catégories de personnes concernées et de données, destinataires, transferts internationaux, délais d'effacement, mesures de sécurité | Art. 30.1 RGPD |
| Contenu du registre du sous-traitant | Identification du sous-traitant et de chaque responsable, catégories de traitements, transferts internationaux, mesures de sécurité | Art. 30.2 RGPD |
| Format et disponibilité | Par écrit, y compris sous forme électronique ; à disposition de l'AEPD sur demande | Art. 30.3 et 30.4 RGPD |
| Non-conformité | Amende pouvant atteindre 10 M€ ou 2 % du chiffre d'affaires mondial | Art. 83.4.a) RGPD |
Questions fréquentes
Le Registre des activités de traitement est-il obligatoire si mon entreprise compte moins de 250 salariés ?
Dans la plupart des cas, oui. L'exemption de l'article 30.5 du RGPD ne s'applique que lorsque le traitement est ponctuel et occasionnel, ne comporte pas de risque pour les droits des personnes concernées et n'inclut pas de catégories particulières de données ni de données relatives à des condamnations ou infractions pénales. Gérer la paie, tenir une base de données clients ou traiter des candidatures sont des traitements structurels qui rendent l'exemption inapplicable, quel que soit le nombre de salariés de l'organisation.
Puis-je utiliser un modèle générique téléchargé sur internet pour élaborer le RAT ?
Il peut servir de point de départ, mais il est rarement suffisant à lui seul. L'article 30 exige que le registre reflète avec précision les traitements réels de votre organisation — finalités concrètes, catégories exactes de données et de personnes concernées, destinataires effectifs — et un modèle générique non adapté tend à se limiter à des descriptions trop vagues pour résister à une inspection détaillée de l'AEPD.
Le RAT doit-il être accessible publiquement sur le site web de l'entreprise ?
Non. L'article 30.4 du RGPD exige que le registre soit mis à la disposition de l'autorité de contrôle qui en fait la demande, et non qu'il soit publié publiquement. Cette obligation est distincte de l'obligation d'information des personnes concernées dans la politique de confidentialité, qui doit effectivement être publique, mais avec un niveau de détail différent de celui du RAT. L'exception concerne les entités du secteur public de l'article 77.1 de la LOPDGDD, tenues par l'article 31.2 de publier un inventaire de leurs traitements accessible par voie électronique.
À quelle fréquence faut-il mettre à jour le Registre des activités de traitement ?
Aucun délai fixe n'est prévu par la norme, mais le RAT doit être mis à jour à chaque changement pertinent : nouveau prestataire ou sous-traitant, nouveau traitement de données, modification des finalités existantes, ou changement des transferts internationaux. En pratique, il convient d'établir une révision périodique — au moins annuelle — en plus des mises à jour ponctuelles liées à chaque changement.
Quelle est la différence entre le RAT et une analyse d'impact (AIPD) ?
Le RAT est un inventaire descriptif de l'ensemble des traitements de données de l'organisation, exigé de manière générale par l'article 30 du RGPD. L'analyse d'impact relative à la protection des données (AIPD), régie par l'article 35, est une analyse de risque spécifique et détaillée, obligatoire uniquement pour les traitements susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes. Le RAT constitue généralement le point de départ pour identifier quels traitements nécessitent en outre une AIPD.
Que se passe-t-il si j'ai un RAT mais qu'il est incomplet ou obsolète ?
La LOPDGDD distingue les deux scénarios : tenir un registre qui n'incorpore pas toutes les informations exigées par l'article 30 constitue une infraction légère (article 74.l), tandis que l'absence totale de registre constitue une infraction grave (article 73.n) ; les deux relèvent du cadre de sanction de l'article 83.4.a) du RGPD. Dans les deux cas, un registre incomplet ou obsolète ne permet pas de démontrer le respect du principe de responsabilité proactive de l'article 5.2 du RGPD. Lors d'une inspection, l'AEPD s'attache particulièrement à vérifier si le registre reflète l'activité réelle de l'entreprise au moment de la révision, et non celle qu'elle avait lors de sa rédaction initiale.
Si votre entreprise a besoin d'élaborer, de réviser ou de maintenir à jour son Registre des activités de traitement — en tant que responsable, en tant que sous-traitant, ou dans les deux rôles à la fois —, chez Summum Consultoría nous intégrons cette tâche au sein de notre service de mise en conformité au RGPD pour les entreprises, avec une révision périodique assurée par le délégué à la protection des données. Si votre organisation n'a pas encore engagé son processus de mise en conformité, notre guide RGPD étape par étape : guide pratique pour mettre votre entreprise en conformité explique par où commencer.