Registre des Activités de Traitement (RAT) : guide RGPD

S’il existe un document qui se trouve au coeur de la conformité RGPD, c’est le Registre des Activités de Traitement. Votre RAT est le registre définitif de quelles données personnelles votre organisation traite, pourquoi vous les traitez, avec qui elles sont partagées et combien de temps vous les conservez.

L’article 30 rend ce registre obligatoire pour la plupart des organisations — et l’exemption pour les entreprises de moins de 250 employés est bien plus étroite qu’on ne le pense. Si votre traitement n’est pas « occasionnel », inclut des catégories particulières de données, ou pourrait présenter un risque pour les droits des personnes concernées, vous avez besoin d’un RAT quelle que soit la taille de l’entreprise. Pour toute entreprise SaaS traitant des données clients dans le cadre de son activité principale, l’exemption ne s’applique effectivement pas.

Plus important encore, votre RAT n’est pas simplement un document de conformité. C’est la fondation sur laquelle tout le reste repose — vos avis de confidentialité, vos Accords de Traitement de Données, vos Analyses d’Impact relatives à la Protection des Données et votre capacité à répondre aux demandes des personnes concernées. Si votre RAT est bien fait, le reste de votre programme de conformité devient considérablement plus simple.

Qu’est-ce qu’un RAT ?

Un Registre des Activités de Traitement est un registre structuré qui documente chaque catégorie de traitement de données personnelles effectué par votre organisation. Considérez-le comme une carte opérationnelle des données personnelles circulant dans votre entreprise.

Le RGPD distingue deux types de RAT :

RAT du responsable du traitement (Article 30(1)) — Requis lorsque vous déterminez les finalités et les moyens du traitement. Cela couvre vos propres données d’entreprise : dossiers clients, données employés, contacts marketing, données des visiteurs du site web, etc.

RAT du sous-traitant (Article 30(2)) — Requis lorsque vous traitez des données pour le compte d’une autre organisation. Pour les entreprises SaaS, cela couvre les données que vos clients stockent et traitent via votre plateforme.

La plupart des entreprises SaaS ont besoin des deux : un RAT de responsable du traitement pour leur propre traitement de données, et un RAT de sous-traitant pour les données qu’elles traitent pour le compte de leurs clients.

Que doit contenir un RAT ?

RAT du responsable du traitement — Article 30(1)

Pour chaque activité de traitement où vous agissez en tant que responsable du traitement, votre RAT doit inclure :

1. Votre identité et vos coordonnées — Le nom et les coordonnées du responsable du traitement. Si vous avez un Délégué à la Protection des Données, incluez ses coordonnées. Si vous traitez des données conjointement avec un autre responsable du traitement, incluez ses coordonnées.

2. Finalités du traitement — Pourquoi vous traitez ces données. Soyez précis : « pour fournir le service contractuel » est mieux que « opérations commerciales », mais « pour traiter les paiements d’abonnement client via Stripe » est encore mieux.

3. Catégories de personnes concernées — À qui les données se rapportent : clients, prospects, employés, visiteurs du site web, candidats à l’emploi, utilisateurs finaux de votre plateforme.

4. Catégories de données personnelles — Quels types de données vous traitez pour chaque catégorie de personnes concernées : noms, adresses email, adresses IP, détails de paiement, journaux d’utilisation, contenus des tickets de support.

5. Catégories de destinataires — Qui reçoit les données : équipes internes, sous-traitants, organisations partenaires, autorités publiques. Incluez les fournisseurs spécifiques lorsque c’est possible.

6. Transferts internationaux — Si des données sont transférées vers un pays hors de l’EEE, documentez quels pays et quelles garanties sont en place (décision d’adéquation, Clauses Contractuelles Types, Cadre de protection des données). Consultez notre guide sur les transferts internationaux de données pour avoir une vue d’ensemble.

7. Durées de conservation — Combien de temps vous conservez chaque catégorie de données. Si vous ne pouvez pas spécifier une durée exacte, documentez les critères que vous utilisez pour déterminer la conservation. Notre guide sur la conservation des données comprend un modèle pour les entreprises SaaS.

8. Mesures de sécurité — Une description générale des mesures de sécurité techniques et organisationnelles en place : chiffrement, contrôles d’accès, procédures de sauvegarde, formation des employés.

RAT du sous-traitant — Article 30(2)

Pour chaque activité de traitement où vous agissez en tant que sous-traitant, votre RAT doit inclure :

1. Votre identité et vos coordonnées — En tant que sous-traitant, plus les coordonnées du responsable du traitement.
2. Catégories de traitement — Quels types de traitement vous effectuez pour chaque responsable du traitement (stockage, analyse, transmission, etc.).
3. Transferts internationaux — Mêmes exigences que le RAT du responsable du traitement.
4. Mesures de sécurité — Mêmes exigences que le RAT du responsable du traitement.

Le RAT du sous-traitant est plus léger que la version du responsable du traitement car le responsable du traitement conserve la responsabilité principale de documenter les finalités, les bases juridiques et les durées de conservation.

Comment construire votre RAT

Étape 1 : Inventoriez toutes les activités de traitement

Commencez par lister chaque activité de votre organisation qui implique des données personnelles. Ne vous limitez pas à ce qui est évident — explorez les recoins :

• Opérations produit principales : Inscription des utilisateurs, authentification, gestion des profils, suivi d’utilisation des fonctionnalités, messagerie intégrée, stockage de fichiers.
• Ventes et marketing : Formulaires de capture de prospects, email marketing, dossiers CRM, inscriptions aux événements, demandes de démonstration.
• Succès client : Tickets de support, enquêtes de satisfaction client, notes de gestion de compte, dossiers d’intégration.
• Finance : Facturation, traitement des paiements, gestion des dépenses, dossiers fiscaux.
• RH : Dossiers employés, recrutement, paie, évaluations de performance, dossiers de formation.
• IT et sécurité : Journaux d’accès, gestion des appareils, dossiers d’incidents de sécurité, tickets de support IT.
• Site web et analyse : Données de cookies, analyses de visiteurs, tests A/B, cartes thermiques.

Étape 2 : Cartographiez les flux de données

Pour chaque activité de traitement, retracez d’où viennent les données, où elles vont et qui y a accès en chemin.

Questions à répondre :

• D’où proviennent ces données ? (Directement de la personne concernée, d’un autre système, d’un tiers)
• Où sont-elles stockées ? (Votre base de données, un outil SaaS tiers, les deux)
• Qui y a accès en interne ? (Quelles équipes, quels rôles)
• Sont-elles partagées avec des parties externes ? (Fournisseurs, partenaires, autorités)
• Quittent-elles l’EEE ? (Hébergement aux États-Unis, CDN mondial, support offshore)

Étape 3 : Documentez la base juridique pour chaque activité

Pour chaque activité de traitement dans votre RAT de responsable du traitement, enregistrez laquelle des six bases juridiques s’applique. C’est une étape critique que de nombreuses organisations bâclent.

Bases juridiques courantes pour les entreprises SaaS :

• Nécessité contractuelle — Traitement nécessaire pour fournir votre service (ex. : stockage des données de compte utilisateur)
• Intérêt légitime — Traitement servant vos intérêts commerciaux sans primer sur les droits de la personne concernée (ex. : analyses produit, prévention de la fraude)
• Consentement — Traitement pour lequel vous avez obtenu un opt-in explicite (ex. : emails marketing, cookies non essentiels)
• Obligation légale — Traitement requis par la loi (ex. : tenue des registres financiers, déclarations fiscales)

Étape 4 : Enregistrez les durées de conservation

Pour chaque catégorie de données, documentez combien de temps vous les conservez et pourquoi. Les durées de conservation doivent être basées sur des justifications spécifiques :

• Durée du contrat plus une période raisonnable après la fin du contrat
• Exigences légales (dossiers fiscaux pendant 7 à 10 ans, selon la juridiction)
• Besoin commercial légitime avec un délai défini
• Jusqu’au retrait du consentement (pour le traitement basé sur le consentement)

Évitez les entrées vagues comme « aussi longtemps que nécessaire ». Les autorités de contrôle attendent des durées spécifiques ou des critères clairement définis.

Étape 5 : Identifiez les transferts internationaux

Signalez toute activité de traitement où des données quittent l’EEE. Pour chaque transfert, documentez :

• Le pays de destination
• Le mécanisme de transfert (décision d’adéquation, CCT, DPF, règles d’entreprise contraignantes)
• Le fournisseur ou l’entité spécifique impliqué(e)

Étape 6 : Maintenez-le à jour

Un RAT qui reflète la réalité de l’année dernière n’est pas conforme. Établissez une cadence de révision :

• Révisions trimestrielles : Vérifiez que les entrées existantes sont toujours exactes. Des fournisseurs ont-ils changé ? De nouvelles fonctionnalités ont-elles été lancées ?
• Mises à jour déclenchées par des événements : Nouveau fournisseur intégré ? Mettez à jour le RAT. Nouvelle fonctionnalité traitant des données personnelles ? Mettez à jour le RAT. Restructuration organisationnelle ? Mettez à jour le RAT.
• Audit annuel complet : Parcourez l’ensemble du registre avec les parties prenantes de chaque département.

Le RAT en pratique : exemples SaaS

Voici des exemples concrets d’activités de traitement qu’une entreprise SaaS typique pourrait documenter :

Gestion des comptes utilisateurs

• Personnes concernées : Utilisateurs finaux de la plateforme
• Catégories de données : Nom, adresse email, mot de passe haché, paramètres de profil, avatar
• Finalité : Fournir et gérer l’accès des utilisateurs à la plateforme
• Base juridique : Nécessité contractuelle
• Destinataires : Base de données applicative (AWS UE), service d’authentification
• Conservation : Durée du compte plus 30 jours après la demande de suppression
• Transferts : Aucun (infrastructure hébergée dans l’UE)

Analyses produit

• Personnes concernées : Utilisateurs finaux de la plateforme
• Catégories de données : ID utilisateur (pseudonymisé), événements d’utilisation des fonctionnalités, durée de session, navigateur/OS
• Finalité : Comprendre l’utilisation du produit et améliorer la plateforme
• Base juridique : Intérêt légitime (amélioration du produit)
• Destinataires : Plateforme d’analyse (ex. : Amplitude, Mixpanel)
• Conservation : 24 mois à compter de la collecte
• Transferts : États-Unis (Cadre de protection des données UE-États-Unis)

Email marketing

• Personnes concernées : Abonnés à la newsletter, utilisateurs d’essai, clients
• Catégories de données : Nom, adresse email, préférences d’abonnement, données d’engagement
• Finalité : Envoyer des mises à jour produit, du contenu éducatif et des communications marketing
• Base juridique : Consentement (pour le marketing), intérêt légitime (pour les mises à jour produit aux clients existants)
• Destinataires : Plateforme d’email marketing (ex. : Customer.io, Mailchimp)
• Conservation : Jusqu’au retrait du consentement ou 12 mois après le dernier engagement
• Transferts : États-Unis (Cadre de protection des données UE-États-Unis)

Support client

• Personnes concernées : Clients et utilisateurs finaux qui soumettent des demandes de support
• Catégories de données : Nom, adresse email, contenu du ticket, pièces jointes, transcriptions de chat
• Finalité : Résoudre les problèmes de support et maintenir la qualité de service
• Base juridique : Nécessité contractuelle, intérêt légitime (amélioration du service)
• Destinataires : Plateforme de support (ex. : Zendesk, Intercom), équipe de support interne
• Conservation : Durée de la relation client plus 12 mois
• Transferts : États-Unis (Clauses Contractuelles Types)

Traitement des paiements

• Personnes concernées : Contacts de facturation des organisations clientes
• Catégories de données : Nom, adresse email, adresse de facturation, moyen de paiement (détails de carte gérés par le sous-traitant)
• Finalité : Traiter les paiements d’abonnement et gérer la facturation
• Base juridique : Nécessité contractuelle, obligation légale (dossiers financiers)
• Destinataires : Processeur de paiement (ex. : Stripe), logiciel comptable
• Conservation : Durée de l’abonnement plus 7 ans (obligation légale pour les dossiers financiers)
• Transferts : États-Unis (Cadre de protection des données UE-États-Unis pour Stripe)

Le problème du tableur

La plupart des équipes SaaS commencent leur RAT dans un tableur. C’est le premier choix naturel — flexible, familier et gratuit. Mais les tableurs deviennent un handicap à mesure que votre programme de conformité mûrit :

Chaos du contrôle de version. Lorsque plusieurs personnes peuvent modifier le tableur, quelle version fait autorité ? Quand la dernière modification a-t-elle été faite, et par qui ? Si quelqu’un supprime accidentellement une ligne, y a-t-il une sauvegarde ?

Pas d’historique des modifications. Les autorités de contrôle peuvent demander quand une entrée spécifique a été ajoutée ou modifiée. Les tableurs ne maintiennent pas de pistes d’audit granulaires des modifications au niveau des cellules.

Données obsolètes. Sans rappels automatisés, les révisions du RAT sont reportées. Le tableur diverge progressivement de la réalité — de nouveaux fournisseurs sont oubliés, des processus obsolètes persistent, les durées de conservation ne sont pas révisées.

Pas de structure relationnelle. Votre RAT est connecté à tout : fournisseurs, DPA, avis de confidentialité, flux de données, évaluations de la base juridique. Dans un tableur, ces connexions n’existent que dans la mémoire de votre équipe. Dans un système dédié, elles sont explicites et navigables.

Préparation aux audits. Lorsqu’une autorité de contrôle demande votre RAT, un tableur au formatage incohérent, aux champs manquants et sans propriétaire clair ne fait pas bonne impression. Cela signale une conformité ad hoc plutôt qu’un programme mature.

Comment GRCTrail gère votre RAT

GRCTrail remplace le tableur par un RAT structuré, connecté et toujours à jour :

Généré automatiquement à partir de votre cartographie des données. Connectez vos systèmes et GRCTrail alimente votre RAT à partir de vos activités de traitement réelles. Pas de saisie manuelle pour la configuration initiale.

Connecté à vos DPA et à votre registre des fournisseurs. Chaque activité de traitement est liée à l’Accord de Traitement de Données et au dossier fournisseur concernés. Lorsque les sous-traitants d’un fournisseur changent, la connexion est visible dans votre RAT.

Toujours prêt pour l’audit. Chaque modification est horodatée et attribuée. Exportez votre RAT dans des formats adaptés aux soumissions aux autorités de contrôle à tout moment.

Rappels de révision. Des notifications automatiques pour les révisions trimestrielles et les mises à jour déclenchées par des événements garantissent que votre RAT ne devient jamais obsolète.

Générez votre RAT automatiquement →

Guides connexes

• Checklist de conformité RGPD — Le cadre de conformité complet
• Accords de Traitement de Données (DPA) — Gérer vos contrats de sous-traitants
• Politiques de conservation des données — Définir et documenter les durées de conservation
• Les six bases juridiques — Choisir le bon fondement juridique pour chaque activité

Commencez avec GRCTrail →