Aller au contenu principal
REZDEVOPS
Audits data 5 min de lecture

RGPD pour TPE/PME : le registre des traitements minimum viable.

Comment construire un registre art. 30 utile en 2 jours, sans tomber dans le templating générique. Gabarit RezDevOps inclus.

Rudy Rezaire
Fondateur RezDevOps
#audits#rgpd

Le registre des activités de traitement, c'est le document que l'article 30 du RGPD vous impose de tenir et que personne n'a envie d'écrire. Résultat prévisible : soit il n'existe pas, soit c'est un gabarit générique téléchargé un soir de mise en conformité, rempli de traitements que l'entreprise n'a pas et muet sur ceux qu'elle a vraiment.

Les deux situations se valent presque. Un registre absent est une non-conformité évidente ; un registre générique est une non-conformité déguisée, et elle se voit en cinq minutes de lecture. Voici comment construire un registre réellement utile, en deux jours de travail, sans cabinet ni usine à gaz.

D'abord, êtes-vous concerné ?

Oui, presque certainement. L'article 30 prévoit une dispense pour les entreprises de moins de 250 salariés, mais elle saute dès que le traitement n'est pas occasionnel. Or la gestion de vos clients, de vos prospects, de votre comptabilité et de vos salariés sont des traitements parfaitement réguliers. En pratique, une TPE/PME en activité a toujours des traitements à inscrire au registre. La CNIL le dit elle-même dans ses guides dédiés aux petites structures.

La bonne nouvelle : pour une structure de taille raisonnable, le registre complet tient en cinq à dix fiches. Ce n'est pas un chantier de six mois, c'est deux jours bien employés.

Jour 1 : l'inventaire honnête

La seule matière première du registre, c'est la réalité de vos flux de données. Pas votre organigramme, pas votre plaquette : ce qui circule vraiment.

Prenez une demi-journée pour lister, outil par outil, ce qui contient des données personnelles : le CRM bien sûr, mais aussi la boîte mail, les exports Excel qui traînent, le logiciel de paie, le site web et ses formulaires, l'outil de mesure d'audience, le standard téléphonique, le papier. L'erreur classique est de raisonner par logiciel ; raisonnez par finalité. "Répondre aux demandes entrantes du site", "facturer les clients", "gérer la paie" : chaque finalité distincte est un traitement, même si plusieurs traitements partagent un même outil.

À la fin du jour 1, vous avez une liste de cinq à dix traitements avec, pour chacun, une phrase de finalité. C'est le squelette du registre, et c'est déjà plus que ce que possèdent la plupart de vos concurrents.

Jour 2 : une fiche par traitement

Pour chaque traitement, une fiche d'une page suffit, à condition qu'elle réponde précisément aux rubriques de l'article 30. Le gabarit que j'utilise pour RezDevOps et en mission comporte ces rubriques :

  • Intitulé et finalité : à quoi sert ce traitement, en une phrase qu'un non-juriste comprend.
  • Base légale : contrat, obligation légale, intérêt légitime ou consentement. C'est la rubrique où le gabarit générique se trompe le plus souvent, parce qu'il coche le consentement par réflexe. Trois exemples pour fixer les idées : conserver vos factures relève de l'obligation légale, parce qu'une loi vous impose de tenir cette comptabilité (vous n'avez pas à demander l'accord du client) ; déposer un cookie publicitaire ou envoyer une newsletter à des particuliers relève du consentement, parce que rien ne vous y oblige et que la personne doit pouvoir dire oui librement et se rétracter à tout moment ; mesurer l'audience de votre site de façon agrégée et anonyme, ou prospecter une entreprise sur son adresse professionnelle, relève de l'intérêt légitime, parce que vous avez un motif sérieux de le faire et que l'impact sur la personne reste faible (à condition de l'avoir mis en balance et de pouvoir le justifier).
  • Personnes concernées et catégories de données : qui, et quoi exactement. "Données clients" n'est pas une réponse ; "nom, adresse électronique, raison sociale, contenu du message" en est une.
  • Destinataires et sous-traitants : qui accède aux données en interne, et quels prestataires les hébergent ou les traitent (hébergeur, logiciel de paie, outil emailing), avec leur localisation.
  • Transferts hors UE : la question qui fâche avec beaucoup d'outils américains. Si la réponse est "aucun", c'est un argument ; si elle est "oui", il faut savoir sur quel fondement.
  • Durées de conservation : la rubrique la plus négligée et la plus structurante. Une durée par catégorie de données, avec un événement déclencheur clair (fin de contrat, dernier contact).
  • Mesures de sécurité : chiffrement en transit et au repos, restriction des accès, sauvegardes. Décrivez ce qui existe, pas ce qui devrait exister.

Soyez honnête dans les fiches, y compris sur les points faibles. Un registre qui note "suppression encore manuelle, automatisation planifiée" est crédible et défendable ; un registre qui prétend que tout est parfait ne l'est pas. Le registre est aussi un outil de pilotage : il vous dit où sont vos prochains chantiers.

Les trois pièges du templating générique

Le registre miroir de la plaquette. Des fiches recopiées d'un modèle sectoriel, qui décrivent une entreprise idéale et pas la vôtre. Au premier échange avec la CNIL ou avec un client grand compte qui audite ses fournisseurs, l'écart saute aux yeux.

La base légale par défaut. Le consentement coché partout parce que c'est la notion la plus connue. C'est souvent la pire base légale possible : elle est révocable à tout moment et inadaptée à la plupart des traitements d'une entreprise (contrat, comptabilité, prospection B2B).

Le registre écrit une fois, jamais relu. Un registre daté de trois ans qui ignore vos nouveaux outils dit surtout que la conformité n'est pas pilotée. Le bon réflexe : une relecture par an, et une mise à jour à chaque nouvel outil ou nouveau flux. C'est une heure par trimestre, pas plus.

Le lien avec vos données métier

Ce travail d'inventaire a un effet secondaire intéressant : c'est exactement la cartographie dont vous avez besoin pour valoriser vos données. Savoir où sont vos données, qui y accède et dans quel état elles sont, c'est le préalable commun à la conformité RGPD et à n'importe quel projet data sérieux.

C'est pour cette raison que mes audits data incluent systématiquement l'angle RGPD : cartographie des flux et des stocks, analyse par traitement avec écarts repérés, et plan de remédiation hiérarchisé. Si le registre n'existe pas encore, l'audit en pose les fondations ; s'il existe, il est confronté à la réalité des flux.

Vous voulez vérifier où vous en êtes ? Le formulaire de contact est fait pour ça.

Tags#audits#rgpd
Rudy Rezaire
Fondateur RezDevOps

Dix ans d'expérience en audit dans la banque, l'assurance et le BTP. Aujourd'hui à la tête de RezDevOps, où je conçois des outils d'audit data et des applications web sur mesure pour les TPE et PME qui veulent une compta opposable et un SI conçu pour durer.

contact@rezdevops.com LinkedIn GitHub
Newsletter

Un article par mois, jamais plus.

Pas de promo, pas de relance, pas de tracker. Juste les notes techniques et retours de mission qui sortent ici.