Registre des traitements RGPD 2026 : modèle TPE/PME et sanctions CNIL
Registre des traitements RGPD 2026 pour TPE et PME : contenu obligatoire de l'article 30, modèle CNIL, traitements RH, sous-traitance, sanctions et erreurs courantes en contrôle.
Note de l'expert : Cet article a été rédigé par notre cabinet d'expertise comptable. Les informations sont à jour en 2026. Pour une étude personnalisée de votre situation, contactez-nous.
À jour au 24 mai 2026 — rédigé par le cabinet Hayot Expertise, expert-comptable à Paris 8.
L'article 30 du Règlement général sur la protection des données (RGPD, règlement UE 2016/679) impose la tenue d'un registre des activités de traitement pour la quasi-totalité des organisations qui traitent des données personnelles — y compris les TPE et PME. Depuis l'entrée en vigueur du RGPD le 25 mai 2018, le registre est devenu la pièce centrale du dossier de conformité, contrôlée systématiquement par la CNIL en cas d'inspection.
Pourtant, sur le terrain, le registre reste l'un des chantiers les plus souvent négligés par les PME, derrière la cookies policy et la mention RGPD du site internet. La sanction n'est plus théorique : la CNIL a prononcé en 2023 et 2024 plusieurs sanctions à six chiffres incluant un grief d'absence ou de défaillance du registre.
Cet article récapitule, à partir des sources officielles, ce que doit contenir un registre RGPD en 2026, qui doit le tenir, comment l'organiser, et quels sont les pièges observés en contrôle CNIL pour les TPE/PME.
1. Qui est concerné en 2026 ? Le mythe des « moins de 250 salariés »#
L'article 30.5 du RGPD prévoit une dispense conditionnée :
- moins de 250 salariés ;
- ET le traitement est occasionnel (non régulier) ;
- ET il n'est pas susceptible de comporter un risque pour les droits et libertés des personnes ;
- ET il ne concerne ni données sensibles ni données relatives à des condamnations pénales.
Les quatre conditions sont cumulatives. Or, dès qu'une entreprise gère :
- la paie de ses salariés (traitement régulier, données RH) ;
- une base clients ou prospects récurrente (traitement régulier) ;
- de la vidéosurveillance (souvent données sensibles : présence syndicale, état de santé inférable) ;
- un suivi de connexion ou de productivité des salariés (traitement à risque) ;
la dispense tombe. En pratique, toute TPE ou PME française active doit tenir un registre. La CNIL le précise sans ambiguïté dans son modèle PME.
2. Article 30 RGPD : contenu minimal obligatoire#
L'article 30 distingue deux registres parallèles selon le rôle joué par l'organisation.
2.1 Le registre du responsable de traitement (article 30.1)#
Pour chaque traitement, le registre doit comporter :
| Rubrique | Contenu attendu |
|---|---|
| Identification | Nom et coordonnées du responsable, du représentant (le cas échéant), du DPO |
| Finalité | But du traitement (exemple : gestion de la paie, prospection commerciale) |
| Catégories de personnes | Salariés, clients, prospects, fournisseurs, visiteurs site web, etc. |
| Catégories de données | État civil, contact, financières, RH, santé, biométriques, etc. |
| Destinataires | Internes (services), externes (URSSAF, banque, sous-traitants) |
| Transferts hors UE | Pays, garanties (BCR, clauses-types, etc.) |
| Délai de conservation | Durée d'utilisation active + durée d'archivage |
| Mesures de sécurité | Chiffrement, contrôle d'accès, sauvegardes, pseudonymisation |
2.2 Le registre du sous-traitant (article 30.2)#
Pour chaque catégorie de traitement effectué pour le compte d'un responsable, le sous-traitant doit consigner :
- son identification + celle des responsables clients ;
- les catégories de traitements effectués ;
- les transferts hors UE ;
- les mesures de sécurité.
Un cabinet d'expertise comptable est typiquement les deux à la fois : responsable pour sa propre gestion RH, sous-traitant lorsqu'il établit la paie ou la comptabilité de ses clients.
3. Modèle CNIL 2026 : focus, champs et bonnes pratiques#
La CNIL met à disposition un modèle de registre pour TPE/PME en format tableau, avec instructions par colonne. Quelques principes de tenue concrets :
- Un registre, plusieurs fiches. Une fiche par traitement (paie, recrutement, gestion client, prospection, vidéosurveillance, etc.). Ne pas confondre traitement et logiciel.
- Granularité moyenne. Trop granulaire = ingérable. Trop large = imprécis. Une fiche par finalité métier (et non par outil).
- Versionnage. Chaque mise à jour est datée. La CNIL apprécie la traçabilité dans le temps.
- Confidentialité interne. Le registre est un document interne, conservé sur un support sécurisé. Pas de publication obligatoire.
- Articulation avec l'analyse d'impact (AIPD). Les traitements à risque élevé identifiés dans le registre déclenchent une AIPD au sens de l'article 35 RGPD.
Notre lecture. Pour une PME de 30 à 80 salariés, comptez 8 à 15 fiches de traitement. En deçà, on suspecte un sous-recensement ; au-delà, une granularité excessive qui rend la mise à jour ingérable.
4. Que faire avec les traitements RH (paie, congés, BDESE) ?#
Les traitements RH sont au cœur du registre PME, et concentrent les contrôles CNIL :
| Traitement RH | Base légale | Durée de conservation recommandée |
|---|---|---|
| Paie et bulletins | Obligation légale (Code du travail) | 50 ans (article L.3243-4 CT pour la copie employeur) |
| Gestion des candidatures | Intérêt légitime | 2 ans après le dernier contact (sauf demande de suppression) |
| Suivi du temps de travail | Obligation légale | 5 ans (article L.3171-3 CT) |
| Vidéosurveillance | Intérêt légitime (sous conditions) | 30 jours (recommandation CNIL) |
| BDESE | Obligation légale | Durée de vie de la BDESE |
Les bases légales doivent être documentées au registre. L'erreur classique est d'invoquer le « consentement » du salarié pour des traitements relevant en réalité de l'obligation légale ou de l'intérêt légitime — le consentement du salarié envers son employeur est généralement présumé vicié par le déséquilibre des relations.
5. Sous-traitance : la cascade article 28 et le contrat DPA#
L'article 28 du RGPD impose un contrat écrit (Data Processing Agreement, DPA) entre le responsable et chaque sous-traitant, comprenant :
- l'objet et la durée du traitement ;
- la nature et la finalité ;
- les catégories de données et de personnes ;
- les obligations et droits du responsable ;
- l'engagement de confidentialité du sous-traitant et de son personnel ;
- l'autorisation préalable pour les sous-traitants ultérieurs ;
- l'assistance pour les droits des personnes et la sécurité ;
- la restitution ou suppression des données en fin de prestation.
En pratique, un cabinet comptable signe un DPA avec chaque éditeur logiciel (Pennylane, Cegid, Silae, etc.) et avec ses clients dont il traite la paie. La CNIL a publié des exemples de clauses en 2022 et 2024.
6. Sanctions CNIL en 2024-2026 : tendance et montants#
Le RGPD prévoit deux niveaux de plafonds (article 83) :
| Type de violation | Plafond |
|---|---|
| Obligations administratives (registre art. 30, AIPD art. 35, notification de violation art. 33-34) | 10 M€ ou 2 % du CA mondial (le plus élevé) |
| Obligations substantielles (droits des personnes, transfert hors UE, base juridique, etc.) | 20 M€ ou 4 % du CA mondial (le plus élevé) |
Les sanctions publiées par la CNIL montrent en 2024-2025 :
- une augmentation du nombre de sanctions adressées à des PME et des startups, en plus des grands groupes ;
- des amendes allant de quelques milliers d'euros pour des manquements isolés à plusieurs millions pour des défaillances systémiques ;
- une attention accrue à la sécurité des données (chiffrement, gestion des accès) et aux durées de conservation excessives.
L'absence ou la défaillance du registre n'est presque jamais le grief unique, mais elle accompagne systématiquement les sanctions importantes (signe d'un dispositif global défaillant).
7. Notre lecture : 5 erreurs PME observées en mission#
Notre lecture d'expert-comptable, fondée sur les missions de mise en conformité observées en 2024-2026.
- Registre « copié-collé d'un modèle générique » sans adaptation à l'activité réelle. La CNIL repère immédiatement les fiches stéréotypées sans description de la chaîne de traitement.
- Confusion finalité / outil. Le traitement n'est pas « Pennylane » ou « Cegid » : c'est « gestion comptable », « production de la paie », etc. L'outil va dans la colonne destinataires/sous-traitants.
- Bases légales mal documentées, en particulier pour les traitements RH (consentement abusivement invoqué).
- Absence de revue annuelle. Le registre se périme vite : nouvelles fiches non recensées, traitements obsolètes non supprimés.
- Non-couverture du périmètre sous-traitant. Un cabinet comptable qui ne tient qu'un registre de responsable et oublie son registre de sous-traitant s'expose à un grief autonome.
8. FAQ#
Une TPE de moins de 10 salariés doit-elle tenir un registre RGPD ?#
Quasi-systématiquement, oui. La dispense de l'article 30.5 suppose que le traitement soit à la fois occasionnel, sans risque pour les personnes, et ne touche pas de données sensibles ni pénales. Dès qu'on traite la paie ou un fichier clients récurrent, la dispense tombe.
Quelle différence entre registre responsable et registre sous-traitant ?#
Le registre du responsable couvre les traitements décidés par l'organisation pour ses propres finalités (article 30.1). Le registre du sous-traitant couvre les traitements effectués pour le compte de tiers (article 30.2). Une même entité peut être les deux à la fois.
Le registre doit-il être public ?#
Non. Il est interne, mais doit être communiqué à la CNIL sur demande lors d'un contrôle.
Le DPO est-il obligatoire ?#
Pas systématiquement. L'article 37 RGPD le rend obligatoire pour les autorités publiques, les traitements à grande échelle de données sensibles ou pénales, ou de suivi systématique. Pour la plupart des TPE/PME hors secteur santé, la désignation est volontaire — mais la CNIL la recommande.
Quelle sanction maximale ?#
Pour le défaut de registre seul : jusqu'à 10 M€ ou 2 % du CA mondial (article 83.4 RGPD). Pour les violations substantielles : jusqu'à 20 M€ ou 4 % du CA mondial (article 83.5).
En pratique : structurer son registre RGPD#
Questions fréquentes
Une TPE de moins de 10 salariés doit-elle tenir un registre RGPD ?
Presque toujours, oui. L'article 30.5 du RGPD prévoit une dispense uniquement si l'organisation compte moins de 250 salariés ET que le traitement n'est ni régulier, ni à risque pour les personnes, ni relatif à des données sensibles ou pénales. Dès qu'une TPE traite des données RH (paie, congés), des fichiers clients récurrents ou de la vidéosurveillance, la dispense tombe. La CNIL recommande à tous les responsables de traitement, y compris TPE, de tenir un registre, ne serait-ce qu'à des fins de pilotage interne et de démonstration de conformité (accountability).
Quelle est la différence entre registre du responsable et registre du sous-traitant ?
Le registre du responsable de traitement (article 30.1 RGPD) recense les traitements que l'organisation décide de mettre en œuvre pour ses propres finalités (paie, gestion client, prospection). Le registre du sous-traitant (article 30.2 RGPD) recense les traitements effectués pour le compte de tiers, sur instruction d'un responsable. Une entreprise peut être les deux à la fois : par exemple, un cabinet comptable est responsable pour sa propre gestion RH et sous-traitant lorsqu'il établit la paie de ses clients.
Le registre RGPD doit-il être publié ou communiqué ?
Non. Le registre est un document interne, conservé sous une forme écrite y compris sous forme électronique (article 30.3 RGPD). Il n'a pas vocation à être publié ni communiqué spontanément. En revanche, il doit pouvoir être présenté à la CNIL sur simple demande lors d'un contrôle. Sa publication peut être utile à des fins de transparence vis-à-vis des personnes concernées ou des partenaires commerciaux, mais reste optionnelle.
Faut-il désigner un Délégué à la protection des données (DPO) obligatoirement ?
Pas toujours. L'article 37 du RGPD impose la désignation d'un DPO dans trois cas : (1) autorité publique, (2) activités de base impliquant un suivi régulier et systématique à grande échelle, (3) traitement à grande échelle de données sensibles ou pénales. Pour la plupart des TPE/PME hors secteur santé ou plateforme de tracking, la désignation est volontaire mais recommandée par la CNIL. Une mutualisation entre PME d'un même groupement reste possible.
Quelle est la sanction maximale en cas de défaut de registre ?
Le défaut de tenue du registre prévu à l'article 30 RGPD constitue une violation des obligations dites « administratives » sanctionnée au titre de l'article 83.4 RGPD : amende administrative jusqu'à 10 millions d'euros, ou jusqu'à 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. Pour les violations dites « substantielles » (droits des personnes, transfert hors UE, etc.), le plafond passe à 20 millions d'euros ou 4 % du CA mondial (article 83.5). Les sanctions effectivement prononcées par la CNIL restent généralement très en deçà des plafonds, mais leur progression est nette en 2024-2026.
Article rédigé par Samuel HAYOT
Expert-Comptable diplômé, inscrit au Tableau de l'Ordre des Experts-Comptables.
Cabinet d'expertise comptable et de commissariat aux comptes base a Paris 8, pense pour accompagner des entreprises partout en France avec une approche digitale et orientee decision.
Sources du dossier
Sources officielles et de reference citees pour cette page.
- CNIL — Modèle de registre des activités de traitement (PME)
- EUR-Lex — Règlement (UE) 2016/679 (RGPD), article 30
- Légifrance — Loi 78-17 du 6 janvier 1978 modifiée (Informatique et Libertés)
- CNIL — Sanctions prononcées (base publique)
- CNIL — Article 28 RGPD et contrats sous-traitant (DPA)
- Éditions Francis Lefebvre — Mémento Social (RGPD/RH)
Ce sujet relève de notre mission Expert-comptable paie à Paris | Paie, DSN, social
Besoin d'un devis ou d'un conseil personnalisé ?
Notre cabinet d'expertise comptable vous accompagne dans toutes vos démarches. Obtenez un devis gratuit pour analyser votre situation et vous proposer une offre tarifaire sur-mesure ou contactez-nous directement.