Registre des traitements : comment documenter les archives et la destruction ?
L'article 30 du RGPD impose à toute organisation de plus de 250 salariés, et en pratique à presque toute structure qui traite des données personnelles de façon régulière, de tenir un registre des traitements. Cette obligation couvre la gestion des archives et la destruction, car la conservation est elle-même une forme de traitement. Mais que faut-il exactement consigner dans ce registre au sujet des archives et de la destruction ? Cet article propose un modèle pratique, sans bureaucratie inutile.
Ce que le RGPD exige
L'article 30, paragraphe 1, mentionne explicitement :
- Nom et coordonnées du responsable du traitement.
- Finalités du traitement.
- Catégories de personnes concernées et de données personnelles.
- Catégories de destinataires.
- Les éventuels transferts vers des pays tiers.
- Les délais prévus pour l'effacement.
- Description générale des mesures de sécurité techniques et organisationnelles.
La ligne en gras est l'endroit où les archives et la destruction se rejoignent directement. Un registre sans délai de conservation est incomplet.
Par traitement : que notez-vous sur l'archive ?
Par traitement (administration clients, dossier RH, candidats, etc.), vous consignez :
- Délai de conservation : combien de temps le conservez-vous, et sur la base de quelle loi ou de quel fondement ? Consultez la fiche des délais de conservation RGPD pour les règles standard.
- Déclencheur du délai : à compter de la fin du contrat de travail, de la date de la dernière facture, de la signature de l'acte, etc.
- Emplacement de l'archive : bureau, dépôt d'archives externe, service cloud.
- Accès : qui y a accès ?
- Méthode de destruction : déchiquetage au niveau DIN P-5, effacement cryptographique ou autre.
- Fréquence de destruction : annuelle, trimestrielle, ponctuelle.
En général : la section sécurité
À côté de la ligne par traitement, le registre doit comporter une politique de sécurité générale qui couvre :
- Sécurité physique du local d'archives : armoires fermées à clé, contrôle d'accès, alarme locale.
- Procédure de destruction : qui désigne les documents, qui signe le certificat, qui conserve la preuve.
- Accord de traitement avec le prestataire de destruction : consultez la checklist de l'accord de traitement pour savoir ce qu'il doit contenir.
- Délai de conservation des certificats : nous conseillons 5 ans.
Modèle : une ligne du registre
| Champ | Exemple de valeur |
|---|---|
| Traitement | Administration clients des ventes B2B |
| Finalité | Exécution du contrat, obligation fiscale de conservation |
| Catégories de données | Nom et adresse, e-mail, téléphone, données de facturation |
| Délai de conservation | 7 ans après la dernière facture |
| Base légale | AWR art. 52 |
| Emplacement | Cloud (Exact Online) plus copie papier en armoire d'archives |
| Accès | Comptabilité, direction |
| Méthode de destruction | Cloud : effacement cryptographique. Papier : déchiquetage mobile DIN P-5. |
| Fréquence | Annuelle après le 31 mars (après la clôture de l'exercice) |
Comment référencer votre prestataire de destruction ?
Sous « catégories de destinataires », vous nommez le prestataire de services de destruction. Vous y référencez aussi l'accord de traitement signé avec ce prestataire. Consultez notre checklist de l'accord de traitement pour savoir ce qu'il doit contenir.
Le prestataire de destruction est un sous-traitant au sens de l'article 28 du RGPD. Il a un accès de courte durée à des données personnelles (dans les bacs en attente de destruction). Cela impose un accord de traitement.
Conservez la preuve de la destruction
Le registre lui-même ne prouve pas que la destruction a eu lieu. Pour cela, il vous faut le certificat. Conservez chaque certificat :
- Au moins 5 ans après la date de destruction.
- Dans un endroit retrouvable (dossier conformité, lecteur partagé, système contractuel).
- Avec un renvoi du registre vers l'emplacement du certificat.
Pour les exigences générales relatives au certificat, voyez le certificat de destruction.
À quelle fréquence mettez-vous le registre à jour ?
- Chaque année, une revue standard, idéalement combinée avec le moment d'audit.
- À chaque nouveau traitement : ajoutez une nouvelle ligne.
- En cas de changement de prestataire de destruction : mettez à jour les coordonnées.
- En cas de changement de délai de conservation : par exemple après une évolution sectorielle de la législation.
Erreurs fréquentes
- « Délai de conservation : indéfini ». Ce n'est pas un délai valable au sens du RGPD.
- « Délai de conservation : aussi longtemps que nécessaire ». Trop vague. L'AP attend un délai explicite.
- Prestataire de destruction absent. C'est un sous-traitant. Il a sa place dans le registre.
- Différents délais mélangés. Chaque catégorie a son propre délai, et non « 7 ans pour tout ».
- Aucune stratégie de conservation des certificats. Conservez la preuve, sinon c'est comme s'il ne s'était rien passé.
Pour qui est-ce obligatoire ?
À strictement parler, l'article 30 s'applique aux organisations de plus de 250 salariés. En pratique, l'AP utilise le registre comme pierre de touche pour presque toute organisation qui traite régulièrement des données personnelles. Ne pas avoir de registre parce que vous « n'avez que 50 salariés » est techniquement défendable mais fragile lors d'une visite de l'AP. Mieux vaut un registre proportionné. Un simple tableur avec les lignes décrites ci-dessus suffit.
Exemples sectoriels
Pour des traitements propres à un secteur, voyez nos articles consacrés à :
- PME et destruction de documents RGPD
- WGBO, 20 ans pour les dossiers patients
- Wwft, 5 ans pour la connaissance du client
- Wft, 5 ans pour les dossiers financiers
Accord de traitement et certificat de destruction par un seul prestataire.
Nous fournissons un accord de traitement standard au sens de l'article 28 du RGPD et un certificat par mission. Directement reliable à votre registre.
Demander un devisVous mettez en place un registre pour la première fois ? Écrivez-nous via desnipperaar.nl. Nous partageons volontiers un exemple de ligne pour les archives et la destruction.