
Modèle gratuit de registre RGPD (2026) — registre article 30, Excel
Modèle de registre des activités de traitement : feuilles responsable + sous-traitant, bases légales, transferts, colonnes de conservation. XLSX, PDF et Markdown gratuits, sans e-mail.
Télécharger ce modèle
Version 1.0 · Mis à jour le 14 juil. 2026 · Gratuit, sans e-mail requis · Fichiers téléchargeables en français (à défaut : anglais)
Modèle de registre RGPD : le registre article 30 gratuit
Le registre des activités de traitement est le registre que l'article 30 du RGPD impose à presque toutes les organisations : les responsables du traitement y documentent les finalités, catégories de données, destinataires, transferts, durées de conservation et mesures de sécurité de chaque activité au titre de l'article 30(1), et les sous-traitants y documentent les catégories de traitements effectués pour chaque responsable au titre de l'article 30(2). Ce modèle gratuit livre les deux registres dans un seul fichier Excel piloté par listes déroulantes — cadré UE-27/EEE, avec colonnes base légale et outil de transfert et dix exemples d'activités préchargés — pour que vous remplissiez des lignes au lieu de concevoir des tableurs.
Le registre est généralement le premier document qu'une autorité de contrôle demande : les lignes directrices de la DPC irlandaise attendent un registre complet, autonome et lisible par un relecteur externe, produit sur simple demande. Pourtant, la plupart des équipes construisent encore le leur à partir d'une feuille blanche la semaine où un régulateur ou un client grand compte pose la question. Ce modèle — disponible en XLSX, en guide de terrain PDF et en fichier Markdown lisible par machine pour les agents IA (les fichiers téléchargeables sont disponibles en français) — supprime cette étape. C'est le compagnon opérationnel de notre guide de conformité RGPD, qui explique le principe de responsabilité que ce registre sert ; cette page vous donne l'artefact qui le démontre.
À retenir
- L'article 30 s'applique séparément aux responsables du traitement et aux sous-traitants : l'article 30(1) régit vos propres traitements ; l'article 30(2) régit ce que vous traitez pour vos clients. Une société SaaS B2B a presque toujours besoin des deux registres — ce modèle livre les deux.
- L'exemption sous 250 salariés est plus étroite qu'il n'y paraît. Selon la prise de position du G29 (avril 2018), un seul des trois facteurs — risque, traitement non occasionnel ou données de catégories particulières — suffit à déclencher l'obligation. La paie, le CRM et le support courants ne sont jamais « occasionnels ».
- Le registre doit être écrit, à jour et productible sur demande (art. 30(3)–(4)). La DPC irlandaise traite un registre obsolète ou fragmentaire comme un manquement au principe de responsabilité en soi.
- Les manquements au registre relèvent du palier inférieur d'amendes — jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial au titre de l'article 83(4) — et sont régulièrement cités comme facteurs aggravants aux côtés des constats de responsabilité de l'article 5(2).
- Un registre, trois régulateurs : le RGPD britannique conserve l'article 30 inchangé (ICO), et le Datatilsynet norvégien attend le même protokoll over behandlingsaktiviteter au titre de la loi sur les données personnelles — la structure du modèle sert les trois.
Ce que contient le modèle
Le fichier XLSX contient quatre feuilles : Coordonnées de l'organisation (le bloc d'identité de l'article 30(1)(a)/30(2)(a) — responsable du traitement, responsables conjoints, représentant article 27, DPO), le registre responsable du traitement mappé colonne par colonne sur l'article 30(1)(b)–(g), le registre sous-traitant mappé sur l'article 30(2)(b)–(d), et une feuille d'instructions incluant une aide à la décision article 30(5). Le PDF reprend le guide de terrain pour l'impression et les réunions de revue ; la variante Markdown porte les définitions complètes des champs avec leurs énumérations, de sorte qu'un agent IA peut rédiger votre registre à partir de votre inventaire de systèmes.
Dix activités de traitement courantes sont préchargées comme exemples travaillés — remplacez-les par les vôtres :
| Réf | Activité | Base légale | Catégorie particulière | Transfert hors EEE | Conservation |
|---|---|---|---|---|---|
| C-01 | Administration du personnel & paie | Contrat — art. 6(1)(b) | Non | Non | Durée d'emploi + délais légaux |
| C-02 | Gestion des absences & de la santé | Obligation légale — art. 6(1)(c) | Oui — art. 9(2)(b) | Non | Durée d'emploi + délais légaux |
| C-03 | Gestion des candidatures | Intérêts légitimes — art. 6(1)(f) | Non | Oui — États-Unis (CCT) | 6 mois après la procédure |
| C-04 | CRM & gestion clients | Intérêts légitimes — art. 6(1)(f) | Non | Oui — États-Unis (CCT) | Relation + 3 ans |
| C-06 | Statistiques du site web | Consentement — art. 6(1)(a) | Non | Non | 14 mois |
Chaque ligne du registre responsable porte aussi les colonnes que les régulateurs sondent : catégories de personnes concernées et de données personnelles (art. 30(1)(c)), catégories de destinataires y compris les sous-traitants (art. 30(1)(d)), l'outil de transfert du chapitre V avec une référence aux garanties de l'article 49 (art. 30(1)(e)), les critères de conservation (art. 30(1)(f)), la description des mesures de sécurité de l'article 32(1) (art. 30(1)(g)), plus le statut AIPD, le propriétaire, la date de revue et un statut de ligne — avec des validations par listes déroulantes qui gardent les valeurs cohérentes.
Comment l'utiliser
Étape 1 — Complétez le bloc d'identité. La feuille Coordonnées de l'organisation capture une seule fois les noms, contacts, représentants et DPO des articles 30(1)(a) et 30(2)(a), pour que chaque ligne du registre n'ait pas à les répéter.
Étape 2 — Inventoriez par finalité, pas par outil. Les lignes directrices registre de la CNIL posent la règle de structuration la plus propre : une ligne par activité de traitement, identifiée par sa finalité. Un même système peut héberger plusieurs activités, et une activité peut s'étendre sur plusieurs systèmes — « administration du personnel & paie », pas « la plateforme RH ». Regroupez les lignes par fonction métier, comme le recommande la DPC irlandaise.
Étape 3 — Remplissez toutes les colonnes responsable, base légale comprise. La base légale n'est pas dans le texte de l'article 30, mais tous les modèles d'autorités de contrôle l'incluent, et la revue du DPA par un client grand compte la demandera. Signalez les données de catégories particulières de l'article 9 et consignez la condition de l'article 9(2) invoquée — le traitement de catégories particulières est aussi l'un des trois facteurs qui font tomber l'exemption de l'article 30(5).
Étape 4 — Consignez les transferts ligne par ligne. « Hors EEE » est le test opérant. Nommez le pays tiers, choisissez l'outil du chapitre V — décision d'adéquation, CCT, BCR — et pour toute dérogation de l'article 49, liez les garanties documentées, que l'article 30(1)(e) exige expressément. Gardez cette colonne cohérente avec la liste de sous-traitants ultérieurs que vos clients voient ; notre guide sur la gestion des sous-traitants ultérieurs sous le RGPD couvre ce registre adjacent.
Étape 5 — Si vous traitez pour des clients, complétez le registre sous-traitant. Une ligne par responsable du traitement, avec des descriptions par catégories des traitements effectués — hébergement, sauvegarde, accès support — pas le détail enregistrement par enregistrement. Référencez le DPA article 28(3) sous lequel chaque ligne opère.
Étape 6 — Gardez-le vivant. Désignez un propriétaire du registre, fixez des dates de revue et marquez les lignes remplacées « Obsolète — conservée » plutôt que de les supprimer, pour que le registre montre sa propre histoire. Un registre exact au lancement et jamais retouché échoue au test du « document vivant » que tous les régulateurs appliquent désormais.
Base juridique
Le registre se mappe sur le règlement (UE) 2016/679, article 30 : le registre du responsable du traitement au titre de l'article 30(1)(a)–(g), le registre du sous-traitant au titre de l'article 30(2)(a)–(d), l'exigence de forme écrite de l'article 30(3) et l'accès de l'autorité de contrôle de l'article 30(4). La dérogation de l'article 30(5) est appliquée telle qu'interprétée par la prise de position du G29 d'avril 2018, endossée par le CEPD : les trois facteurs disqualifiants sont des alternatives, et « occasionnel » signifie en dehors du cours normal de l'activité.
Une note prospective : le paquet « omnibus numérique » de la Commission de 2025 propose de modifier l'article 30(5) pour exempter les organisations de moins de 750 salariés sauf traitement susceptible d'engendrer un risque élevé, et l'avis conjoint EDPB-EDPS 01/2025 a salué cette simplification ciblée tout en demandant des clarifications sur le seuil. À la mi-2026, cela reste une proposition dans la procédure législative ordinaire — l'article 30 actuel s'applique inchangé, et le registre demeure de toute façon l'ossature pratique de la responsabilité. Les conventions de structuration suivent les lignes directrices RoPA de la DPC irlandaise (avril 2023) — registre autonome, granulaire, par fonction métier, lisible par le régulateur — et les lignes directrices registre de la CNIL sur l'inventaire par finalité. Le registre alimente aussi vos preuves de mesures de sécurité article 32 : la colonne (g) est un résumé des TOM que cette page vous montre comment démontrer.
Au-delà de l'UE-27 : Royaume-Uni et Norvège
Au Royaume-Uni, le RGPD britannique conserve l'article 30 inchangé, et les lignes directrices documentation de l'ICO fournissent des modèles gratuits pour responsables du traitement et sous-traitants. Le fichier de l'ICO est cadré Royaume-Uni et centré responsable ; ce modèle ajoute le registre sous-traitant, l'outillage des transferts hors EEE et des exemples travaillés dans un seul classeur — pour un déploiement britannique, traitez « hors du Royaume-Uni » comme test de transfert et l'ICO comme votre autorité. En Norvège, le RGPD s'applique via l'accord sur l'EEE et la loi sur les données personnelles (personopplysningsloven), et le Datatilsynet examine le protokoll over behandlingsaktiviteter dans ses enquêtes — sa décision Telenor a explicité que les organisations dépassant les seuils de l'article 30(5) doivent tenir le registre complet. Pour les responsables du traitement de l'UE, les transferts vers la Norvège sont intra-EEE, pas des transferts vers un pays tiers.
Du registre à la preuve vivante
Un registre sur tableur prouve que vous avez documenté vos traitements ; il ne peut pas maintenir cette documentation exacte. De nouveaux prestataires arrivent, les paramètres de conservation dérivent, un sous-traitant ultérieur change de région — et le registre cesse discrètement de refléter la réalité, précisément l'incohérence qu'une autorité de contrôle ou la revue DPA d'un grand compte repère en premier. La plateforme Trust Center d'Orbiq maintient à jour et sous contrôle d'accès la face client de ces preuves — DPA, TOM, liste de sous-traitants ultérieurs, certificats — de sorte que le travail documenté par votre registre répond aussi à la prochaine revue de sécurité client ; Trust Center pour les équipes juridiques montre comment les juristes privacy pilotent ce workflow. Si un client vous demande d'envoyer plutôt que de montrer vos preuves, associez le registre à notre modèle de notification de changement de sous-traitant ultérieur RGPD.
Sources et références
- Règlement (UE) 2016/679 (RGPD) — texte intégral — article 30(1)–(5), article 83(4).
- G29 — Prise de position sur les dérogations de l'article 30(5) — avril 2018, endossée par le CEPD ; les lectures « facteurs alternatifs » et « occasionnel ».
- DPC irlandaise — « Records of Processing Activities under Article 30 GDPR » (avril 2023) — lignes directrices sur la complétude et la structure, publiées sur le site de la Data Protection Commission irlandaise (qui bloque les vérificateurs de liens automatisés, d'où une citation sans hyperlien).
- CNIL — Le registre des activités de traitement (boîte à outils RGPD) — structuration du registre par finalité.
- ICO — Lignes directrices et modèles de documentation — modèles article 30 du RGPD britannique pour responsables et sous-traitants.
- Datatilsynet — décision sur le rôle du DPO chez Telenor ASA — attentes de tenue de registre article 30 en Norvège.
- Avis conjoint EDPB-EDPS 01/2025 — simplification de l'obligation de registre — juillet 2025 ; la proposition « moins de 750 » en cours.
Pour aller plus loin
Télécharger ce modèle
Version 1.0 · Mis à jour le 14 juil. 2026 · Gratuit, sans e-mail requis · Fichiers téléchargeables en français (à défaut : anglais)
Questions fréquentes
Qu'est-ce que le registre des activités de traitement de l'article 30 du RGPD ?
Le registre des activités de traitement (RoPA en anglais) est le registre obligatoire du RGPD qui documente chaque activité de traitement menée par une organisation. Les responsables du traitement y consignent les finalités, les catégories de personnes concernées et de données, les destinataires, les transferts vers des pays tiers, les durées de conservation et les mesures de sécurité au titre de l'article 30(1) ; les sous-traitants consignent les catégories de traitements effectués pour chaque responsable au titre de l'article 30(2). Le registre doit se présenter par écrit, y compris sous forme électronique, et être mis à la disposition de l'autorité de contrôle sur demande.
Qui est dispensé de tenir un registre des traitements ?
Très peu d'organisations en pratique. L'article 30(5) n'exempte les organisations de moins de 250 salariés que si le traitement n'est pas susceptible de comporter un risque pour les personnes concernées, reste occasionnel et ne porte ni sur des données de catégories particulières ni sur des données relatives aux condamnations pénales. La prise de position du G29 d'avril 2018 lit ces conditions comme des alternatives — un seul de ces facteurs suffit à déclencher l'obligation — et « occasionnel » signifie en dehors du cours normal de l'activité. La paie, le CRM, le support et le marketing relèvent du cours normal de l'activité : presque toute entreprise en exploitation doit donc documenter ses traitements courants.
Que doit contenir le registre d'un responsable du traitement ?
L'article 30(1) exige : le nom et les coordonnées du responsable du traitement (ainsi que des responsables conjoints, du représentant et du DPO le cas échéant) ; les finalités du traitement ; les catégories de personnes concernées et de données personnelles ; les catégories de destinataires, y compris dans des pays tiers ; les transferts vers des pays tiers avec identification du pays et, pour les transferts fondés sur une dérogation de l'article 49, la documentation des garanties appropriées ; dans la mesure du possible, les délais d'effacement envisagés ; et, dans la mesure du possible, une description générale des mesures de sécurité de l'article 32(1).
Les sous-traitants doivent-ils tenir leur propre registre ?
Oui. L'article 30(2) impose à chaque sous-traitant de tenir un registre de toutes les catégories de traitements effectués pour le compte de chaque responsable du traitement — l'identité et les coordonnées du sous-traitant et de chaque responsable, les catégories de traitements réalisés, les transferts vers des pays tiers et une description générale des mesures de sécurité. Une société SaaS B2B est généralement les deux à la fois : responsable du traitement pour ses propres données RH, commerciales et marketing, et sous-traitant pour les données clients hébergées sur sa plateforme. Ce modèle livre les deux registres dans un seul fichier.
La base légale est-elle exigée dans le registre ?
Pas par la lettre de l'article 30 — mais tous les modèles publiés par les autorités de contrôle européennes l'incluent, et les régulateurs considèrent un registre sans bases légales comme une documentation de responsabilité incomplète. Ce modèle intègre une colonne base légale article 6(1) à liste déroulante sur chaque ligne du registre responsable, plus des champs de condition article 9(2) pour les données de catégories particulières.
L'obligation de registre va-t-elle être assouplie pour les entreprises de moins de 750 salariés ?
Pas encore. La proposition de simplification « omnibus numérique » de la Commission européenne de 2025 modifierait l'article 30(5) pour exempter les organisations de moins de 750 salariés sauf traitement susceptible d'engendrer un risque élevé, et l'avis conjoint EDPB-EDPS 01/2025 a globalement salué ce changement ciblé. Mais à la mi-2026, il ne s'agit toujours que d'une proposition dans la procédure législative ordinaire — l'article 30 s'applique aujourd'hui inchangé, et même dans le cadre de la proposition, les traitements à risque élevé resteraient soumis à l'obligation de registre.
En quoi ce modèle diffère-t-il du modèle gratuit de l'ICO ?
Le modèle Excel de l'ICO est pensé pour le Royaume-Uni et centré sur le responsable du traitement. Ce modèle est cadré UE-27/EEE avec des notes Royaume-Uni et Norvège, livre les registres responsable et sous-traitant dans un seul classeur, ajoute des colonnes de transfert hors EEE avec listes déroulantes des outils de transfert du chapitre V, précharge dix activités de traitement courantes comme exemples travaillés, et inclut une variante Markdown lisible par machine pour qu'un agent IA puisse rédiger votre registre.