Le registre des activités de traitement : enjeux croisés des obligations du RGPD et de l’IA Act

I. Le registre des activités de traitement, outil de responsabilisation

Depuis l’entrée en vigueur du RGPD en 2018, les organisations publiques comme privées doivent documenter les traitements de données personnelles qu’elles réalisent. Cette documentation prend la forme d’un registre des activités de traitement¹, prévu à l’article 30 du règlement². Derrière ce nom technique, se cache en réalité un outil fondamental : il s’agit tout simplement de l’inventaire de l’ensemble des traitements de données personnelles effectués dans une organisation. Bien plus qu’un document formel, le registre matérialise le principe même de responsabilisation (ou accountability) prévu à l’article 5(2) du RGPD. En d’autres termes, il ne suffit pas d’être conforme au RGPD, encore faut-il être en mesure de le démontrer.

En pratique, l’article 30 du RGPD oblige chaque responsable de traitement et sous-traitant, à tenir un registre écrit (papier ou numérique) répertoriant de manière structurée l’ensemble des traitements effectués. Le registre doit pouvoir être présenté à tout moment à l’autorité de contrôle – en France, la CNIL – sur simple demande. En fin de compte, il s’agit tant d’un outil de pilotage opérationnel, de documentation juridique et de preuve en cas de contrôle ou de contentieux. Il constitue le premier jalon de la conformité RGPD.

1. Un contenu listé par le RGPD

Le registre n’est pas une formalité ; son contenu est strictement défini et doit permettre d’identifier, pour chaque traitement, à minima :

• Le nom et les coordonnées du responsable de traitement, y compris du responsable conjoint de traitement (si plusieurs responsables de traitement), du délégué à la protection des données (DPO), du représentant du responsable de traitement ;
• La ou les finalité(s) de traitement (ex. gestion des clients, recrutement, vidéosurveillance) ;
• Les catégories de personnes concernées (ex. salariés, usagers, clients, patients, etc.) ;
• Les catégories de données traitées (ex. nom, adresse postale, santé, géolocalisation, etc.) ;
• Les destinataires et sous-traitants des données, y compris de pays tiers ;
• Les transferts hors UE vers un pays tiers ou une organisation internationale ;
• La durée de conservation prévue (ex. 10 ans), ou à défaut les critères permettant de la déterminer (ex. conservation durant la durée du contrat) ;
• Une description des mesures de sécurité techniques et organisationnelles (dans la mesure du possible).

Pour les sous-traitants, le contenu est adapté : ils doivent consigner les catégories d’activités de traitement qu’ils réalisent pour le compte de leurs clients responsables de traitement, le nom et les coordonnées du ou des sous-traitants et de chaque responsable de traitement pour le compte duquel le sous-traitant agit ainsi que, le cas échéant, les noms et les coordonnées du représentant du responsable de traitement ou du sous-traitant et celles du DPO. Le registre du sous-traitant doit également inclure les transferts de données, y compris en dehors de l’UE, ainsi qu’une description des mesures de sécurité technique et organisationnelles mises en place.

Attention : un sous-traitant ne consigne l’ensemble de ces informations uniquement pour les traitements réalises pour le compte d’un responsable de traitement. S’il agit lui-même en qualité de responsable de traitement pour certaines opérations, il est alors tenu de documenter l’ensemble des informations prévues à l’article 30.

Le registre ne se limite pas à un tableau administratif : il permet de cartographier les risques, de vérifier la légalité des traitements et de s’assurer de leur proportionnalité. Il constitue, dans les faits, un outil de gouvernance des données.

La lecture du registre des activités de traitement que la CNIL met elle-même en ligne³, permet de constater qu’outre les rubriques exigées par l’article 30, les mentions suivantes sont apportées :

• La base légale du traitement (ex. contrat, consentement, intérêt légitime notamment) ;
• L’indication de la prise de décision automatisée : oui/non ;
• La date de dernière mise à jour de la fiche de traitement ;
• Les droits des personnes concernées (ex. effacement, opposition notamment) ;
• La source des données (formulaire en ligne, contrat, fichier partenaire, etc.). Ces champs supplémentaires facilitent la traçabilité et permettent d’identifier d’emblée si les données proviennent d’une collecte directe ou indirecte.

2. Un champ d’application large, mais non absolu

Le RGPD prévoit une exception à la mise en place d’un registre : les structures de moins de 250 salariés sont dispensées de tenir un registre sauf si elles effectuent des traitements non occasionnels, traitent des données sensibles ou présentent un risque pour les droits et libertés des personnes concernées.

En pratique, cette exception est très limitée. La CNIL rappelle qu’une paie mensuelle, une caméra de vidéosurveillance ou un fichier client dépassent le cadre des traitements « occasionnels ». Nombre de TPE et PME restent donc, de fait, soumises à cette obligation.

Une révision de ces exceptions est actuellement à l’étude.

Dans une proposition très critiquée, publiée en mai 2025⁴, la Commission européenne suggère de relever le seuil d’exemption de 250 à 750 salariés et de supprimer la condition de « traitement occasionnel » au profit d’un critère centré sur le niveau de risque. Présentée comme une mesure de simplification administrative, cette réforme, si elle entrait en vigueur, risquerait pourtant de diminuer la transparence, d’affaiblir la responsabilisation des organisations et d’amoindrir leur propre maîtrise des données qu’elles traitent⁵.

3. Le défaut de registre, un manquement à risque

La CNIL ne se contente plus de rappeler l’obligation d’établir un registre et elle a sanctionné les organismes qui l’ignorent, quelle que soit leur taille. Ainsi, dès 2019, une société de sept salariés, exploitant un dispositif permanent de vidéosurveillance, a fait l’objet d’une mise en demeure (décision MED-2019-025⁶) : la CNIL a constaté l’absence totale de registre alors même que le traitement n’avait rien d’occasionnel, caractérisant un manquement direct à l’article 30.

En 2021, la formation restreinte s’est prononcée⁷ contre une société exploitant un annuaire en ligne qui recense les entreprises françaises et qui dresse, pour chacune d’elles, une fiche de présentation reprenant notamment le nom et l’adresse de son dirigeant. Cette société ne comptabilise qu’un unique salarié qui correspond à son président. Malgré une injonction préalable, l’entreprise n’avait toujours pas documenté ses traitements. La CNIL a jugé que cette inertie violait l’article 30, puisque le traitement effectué dans le cadre de son annuaire en ligne « constitue le cœur de l’activité » de la société, ce qui excluait toute notion d’occasionnalité.

Le même raisonnement prévaut dans la décision SAN-2023-025 visant la société TAGADAMEDIA⁸. Ici, un registre existait, mais il était mutualisé avec une filiale et ne précisait pas quel responsable agissait pour chaque activité. La CNIL a considéré ce registre inexploitable et infligé une amende de 75 000 € pour manquement caractérisé à l’article 30.

Ces trois décisions renvoient trois signaux forts :

• La taille de l’organisme n’exonère jamais de l’obligation de tenue d’un registre ;
• Le critère de traitement « occasionnel » est interprété très strictement dès lors qu’un traitement soutient ou correspond à l’activité principale d’une organisation (annuaire, prospection) ;
• En pratique, la CNIL rappelle ainsi que le registre n’est pas une formalité administrative, mais bien le socle indispensable de toute conformité au RGPD.

II. La convergence RGPD et IA Act

1. La documentation IA passe aussi par le registre des traitements

Avec l’entrée en vigueur du règlement 2024/1689 sur l’intelligence artificielle (AI Act/RIA), le registre des activités de traitement prend une dimension nouvelle, en devenant un outil structurant de gouvernance algorithmique. En particulier, l’article 10 du texte⁹ impose aux fournisseurs de systèmes d’IA à haut risque une obligation en matière de gestion des données. Le point f) du paragraphe 5 introduit une obligation inédite : lorsque des données sensibles sont utilisées pour détecter ou corriger des biais algorithmiques, les raisons précises de cette nécessité doivent être consignées dans le registre prévu par l’article 30 du RGPD.

Autrement dit, il ne suffit plus de justifier l’existence d’un traitement licite de données sensibles ; il faut démontrer, dans le registre lui-même, pourquoi ces données étaient strictement nécessaires à la finalité poursuivie (la correction de biais) et pourquoi aucune autre donnée — ex. anonymisée ou synthétique — n’aurait permis d’atteindre le même objectif.

Cette articulation renforce l’importance stratégique du registre, qui devient l’un des points de jonction entre protection des données et régulation de l’IA. Il permet de documenter la rigueur des choix techniques, les analyses de proportionnalité et les garanties mises en œuvre pour protéger les droits des personnes.

2. Un outil vivant, transversal et stratégique

Tenir un registre conforme ne se résume pas à remplir un modèle de la CNIL. C’est un exercice transversal, impliquant le DPO et plusieurs interlocuteurs internes. C’est aussi un outil évolutif qui doit être mis à jour à chaque changement de finalité, de prestataire, de technologie ou de base légale.

Plus qu’un document réglementaire, il est une grille de lecture de l’organisation. Il permet d’identifier les traitements à risques, de déclencher une analyse d’impact (AIPD), d’anticiper un transfert hors UE ou de tracer l’usage d’un modèle d’IA à partir de données sensibles.

Face à l’intensification de la production de normes européennes et à la convergence entre droit des données et droit de l’IA, le registre s’impose. Ne pas le tenir à jour, c’est renoncer à comprendre et à maîtriser ses propres traitements.

Aumans Avocats : spécialistes en IT/Data, protection des données et externalisation de DPO

En tant que cabinet d’avocats spécialisé IT / Data et protection des données, nous sommes à votre disposition pour vous accompagner dans tous vos projets. Que vous soyez une startup, une PME ou un groupe de sociétés, notre expertise vous permettra de naviguer sereinement dans le paysage complexe de la réglementation et de la conformité. N’hésitez pas à nous contacter pour bénéficier de conseils personnalisés et sécuriser votre avenir numérique.

Sources:

1. https://www.cnil.fr/fr/RGPD-le-registre-des-activites-de-traitement – CNIL, Le registre des activités de traitement ↩︎
2. https://eur-lex.europa.eu/eli/reg/2016/679/oj?locale=fr – RGPD, Article 30 ↩︎
3. https://www.cnil.fr/sites/cnil/files/2024-06/registre_rgpd_de_la_cnil_0.pdf – CNIL, registre des activités de traitement de la CNIL ↩︎
4. https://commission.europa.eu/law/law-topic/data-protection_en – Commission européenne, Simplifying compliance with the GDPR through reduced record-keeping obligations ↩︎
5. https://www.itforbusiness.fr/rgpd-sabrer-le-registre-ou-comment-bruxelles-scie-la-branche-de-la-conformite-91801 – IT for Business, RGPD : sabrer le registre, ou comment Bruxelles scie la branche de la conformité ↩︎
6. https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000039466203/ – CNIL, Décision MED-2019-025 du 5 novembre 2019 ↩︎
7. https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000044043045?isSuggest=true – CNIL, Délibération SAN-2021-014 du 15 septembre 2021 ↩︎
8. https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000049051422 – CNIL, Délibération de la formation restreinte n°SAN-2023-025 du 29 décembre 2023 concernant la société TAGADAMEDIA ↩︎
9. https://eur-lex.europa.eu/eli/reg/2024/1689/oj?locale=fr – Règlement (UE) 2024/1689 concernant l’intelligence artificielle (RIA/IA Act), Article 10(5)(f) ↩︎