Quelles sont les exceptions ?

L’obligation de tenir un registre, parfois aussi énoncée comme l’obligation de disposer d’une documentation interne comporte une exception pour les entreprises comptant moins de 250 employés sous conditions (art. 30.5. du RGPD). Cette exception a une portée très limitée.  En effet, les entreprises ou organisations comptant moins de 250 employés seront  soumises à cette obligation de tenir un registre dans les cas suivants :


  • Lorsque le traitement comporte un risque pour les droits et libertés des personnes concernées (voir point 18 de la recommandation de la CPVP) ;
  • OU lorsque le traitement porte sur des données sensibles : c’est-à-dire des données personnelles qui révèlent : l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, ou qui sont des données génétiques, biométriques ou qui concernent la santé, la vie sexuelle ou l’orientation sexuelle (art. 9 du RGPD) ;
  • OU lorsque le traitement porte sur des données judiciaires : c’est-à-dire sur des données à caractère personnel relatives aux infractions pénales et aux infractions ou aux mesures de sûreté connexes (art. 10 du RGPD) ;
  • OU lorsque le traitement de données est habituel par exemple en cas de traitements liés à la gestion de la clientèle, à la gestion du personnel (ressources humaines) ou encore à la gestion des fournisseurs.

Dès qu’elles se trouvent dans l’un de ces 4 cas, les entreprises de moins de 250 employés doivent avoir un Registre. L’APD met un schéma à disposition pour plus facilement vous apporter une réponse à cette question de savoir si vous bénéficiez de cette exception très limitée.

Dans l’hypothèse où une petite organisation de moins de 250 personnes traite des données à caractère personnel de manière habituelle (non occasionnelle) - comme c’est le cas la plupart du temps pour la gestion du personnel -, elle peut limiter l’objet de son registre à ses traitements de données habituels. Les traitements de données strictement occasionnels peuvent ne pas figurer dans le registre mais cette limitation n’est possible que si ces traitements occasionnels ne sont pas des traitements à risque ou portant sur des données sensibles.

De manière générale, parce qu’il permet de disposer d’une vue d’ensemble des traitements qui sont opérés, l’APD recommande à tous les responsables de traitement et sous-traitant d’établir un registre.