Le registre des activités de traitement est le document fondamental de votre conformité RGPD. Comment le créer, que doit-il contenir, et comment le maintenir à jour ? Guide pratique.
Qu'est-ce que le registre des traitements ?
Le registre des activités de traitement est imposé par l'article 30 du RGPD. Il recense tous les traitements de données personnelles effectués par votre cabinet. C'est la colonne vertébrale de votre documentation RGPD.
Pour un cabinet médical ou dentaire, ce registre liste typiquement : la gestion des dossiers patients, la facturation, la gestion du personnel, la communication par email, la vidéosurveillance (si présente), etc.
Qui est obligé de tenir ce registre ?
Techniquement, l'article 30 du RGPD prévoit une exemption pour les organisations de moins de 250 salariés, sauf si :
- Le traitement est susceptible de comporter un risque pour les droits des personnes
- Il n'est pas occasionnel
- Il porte sur des données de catégories particulières (dont les données de santé)
En pratique, tout cabinet médical ou dentaire traitant des données de santé est obligé de tenir ce registre, quelle que soit sa taille.
Que doit contenir chaque fiche de traitement ?
Pour chaque activité de traitement, le registre doit mentionner (article 30§1) :
| Élément | Description |
|---|---|
| Nom et coordonnées du responsable | Identité du cabinet |
| Finalités | Pourquoi traitez-vous ces données ? |
| Catégories de personnes concernées | Patients, salariés, fournisseurs… |
| Catégories de données traitées | Identité, santé, financières… |
| Destinataires | Qui reçoit les données (médecin traitant, labo, CPAM…) |
| Transferts hors UE | Vers quels pays, avec quelles garanties |
| Durées de conservation | Combien de temps conservez-vous les données ? |
| Mesures de sécurité | Description des mesures techniques et organisationnelles |
Exemple de fiche pour la gestion des dossiers patients
Traitement : Gestion des dossiers patients
Finalité : Prise en charge médicale et dentaire des patients
Responsable : Cabinet Dentaire [Nom], [Adresse]
Base légale : Article 9§2h RGPD (soins de santé)
Catégories de personnes : Patients
Données traitées : Identité, coordonnées, données de santé (antécédents, soins, radiographies)
Destinataires : Praticiens du cabinet, médecin traitant (si besoin), laboratoires partenaires
Hébergement : [Logiciel HDS certifié]
Durée de conservation : 20 ans à compter du dernier acte
Sécurité : Accès restreint par login, chiffrement, sauvegardes quotidiennes
Comment tenir le registre à jour ?
Le registre doit être actualisé à chaque changement :
- Adoption d'un nouveau logiciel
- Nouveau partenaire ou sous-traitant
- Nouvelle finalité de traitement
- Changement de durée de conservation
- Départ ou arrivée d'un salarié traitant des données
Fréquence recommandée : revue annuelle systématique + mise à jour dès qu'un changement intervient.
Format du registre
La CNIL ne prescrit pas de format obligatoire. Un tableur Excel, un outil RGPD dédié ou un registre papier sont tous acceptables, l'essentiel étant que le document soit :
- Accessible lors d'un contrôle CNIL
- Complet et exact
- Daté et identifiant le responsable
La CNIL propose un modèle de registre téléchargeable gratuitement sur son site.
Questions fréquentes
Faut-il un registre séparé pour les données salariés ? Idéalement oui, ou au minimum une fiche distincte dans votre registre principal. Les traitements des données RH (paie, absences, dossier personnel) sont distincts des traitements patients.
Le registre doit-il être communiqué aux patients ou salariés ? Non, le registre est un document interne de conformité. En revanche, il doit être mis à disposition de la CNIL lors d'un contrôle.
Peut-on utiliser le modèle CNIL tel quel ? Le modèle CNIL est un excellent point de départ, mais vous devez l'adapter aux spécificités de votre cabinet. Un registre générique non personnalisé n'est pas suffisant.