— Article 30 du RGPD —
Le registre est le premier document exigé par la CNIL et la colonne vertébrale de toute conformité RGPD. Obligatoire pour toutes les structures qui traitent des données de santé — sans exception de taille — il doit être tenu à jour en permanence.
L'obligation légale
L'article 30 du RGPD impose à tout responsable de traitement de tenir un registre documentant l'ensemble de ses activités de traitement de données personnelles. C'est donc la structure elle-même — représentée par son responsable légal — qui doit le constituer, le tenir à jour et pouvoir le présenter à tout moment à la CNIL. Cette obligation vise tous les organismes, publics comme privés, quelle que soit leur taille dès lors qu'ils traitent des données de santé.
Responsable de traitement
En tant que responsable de traitement, vous décidez pourquoi et comment des données personnelles sont traitées. Cela inclut les CPTS, MSP, réseaux de périnatalité, établissements de santé, cabinets libéraux et toute structure du secteur sanitaire et médico-social.
Sous-traitant
Tout sous-traitant (éditeur de logiciel, hébergeur, prestataire informatique, société de télésecrétariat…) qui traite des données pour le compte d'une structure de santé doit également tenir son propre registre des activités de sous-traitance.
L'exception qui ne s'applique pas en santé
Le RGPD prévoit une exception pour les organismes de moins de 250 salariés… mais uniquement si leurs traitements ne portent pas sur des données de catégories particulières. Or, les données de santé sont explicitement des données de catégories particulières au sens de l'article 9 du RGPD. Cette exception ne s'applique donc jamais aux structures du secteur sanitaire et médico-social.
Données de santé = Art. 9 RGPD = aucune dérogation possible. Qu'il s'agisse d'une CPTS de 2 salariés ou d'un hôpital de 2 000 agents, l'obligation de tenir un registre des activités de traitement est identique. La taille de la structure ne change rien.
Contenu obligatoire
Pour chaque activité de traitement recensée, l'article 30 du RGPD impose de documenter huit éléments. Chaque ligne de votre registre correspond à un traitement distinct — et doit renseigner l'ensemble de ces champs pour être complète et défendable.
Nom, adresse et coordonnées de l'organisme et de son représentant légal. Si un DPO a été désigné — et déclaré à la CNIL — ses coordonnées doivent également y figurer : c'est le premier contact identifiable en cas de demande ou de contrôle.
Pour chaque traitement, vous devez indiquer clairement pourquoi ces données sont collectées et utilisées. La finalité doit être déterminée avant le traitement — pas après. Une finalité vague ou trop large est inacceptable juridiquement.
Qui sont les personnes dont vous traitez les données ? Cette liste doit être exhaustive — les structures de santé oublient souvent certaines catégories qui ne sont pas liées aux patients.
Quelles données sont effectivement traitées pour chaque activité ? En santé, l'identification précise est cruciale : les données de santé (Art. 9 RGPD) font l'objet d'obligations renforcées et nécessitent une base légale spécifique.
Qui reçoit ces données ? Tout destinataire interne ou externe doit être identifié — y compris les logiciels en SaaS qui accèdent aux données. C'est souvent le point le plus sous-estimé dans les registres construits sans accompagnement.
Si des données sont transmises vers un pays hors UE — via un outil cloud américain, un logiciel de visioconférence ou d'emailing étranger — vous devez documenter les garanties mises en place (clauses contractuelles types, décision d'adéquation…).
Combien de temps conservez-vous les données après la fin de leur utilisation ? En santé, ces durées sont souvent fixées par la loi et ne sont pas négociables. Un registre sans durées de conservation renseignées est juridiquement incomplet.
Une description générale — non exhaustive — des mesures techniques et organisationnelles mises en place pour protéger les données. Ce n'est pas un audit de sécurité, mais une documentation de l'essentiel de votre dispositif de protection.
Pour les structures de santé, chaque traitement doit également mentionner sa base légale (Art. 6 et 9 RGPD). La base légale n'est pas explicitement listée à l'Art. 30, mais la CNIL considère qu'elle fait partie du contenu attendu d'un registre complet — et la demande systématiquement lors des contrôles.
Outil officiel
La CNIL met à disposition un modèle de registre téléchargeable gratuitement, conçu pour aider les organismes à démarrer. C'est un bon point de départ pour comprendre la structure d'un registre — mais il reste générique et ne tient pas compte des spécificités juridiques du secteur de la santé.
Le modèle proposé par la CNIL est un document PDF structuré en deux parties (responsable de traitement + sous-traitant). Il vous permet de recenser vos traitements selon les colonnes de l'Art. 30 RGPD, avec des exemples pré-remplis pour vous guider.
Il est téléchargeable directement depuis le site officiel de la CNIL, en accès libre et gratuit.
Pour un registre véritablement complet
Construire un registre conforme en santé ne consiste pas à remplir un tableur. C'est un travail d'analyse juridique qui demande de maîtriser les bases légales propres aux données de santé, d'identifier tous les traitements — y compris les moins évidents — et d'anticiper les obligations qui en découlent.
Même avec la meilleure volonté, la conformité RGPD en santé mobilise des compétences juridiques que les équipes internes n'ont généralement pas. Voici pourquoi un accompagnement extérieur fait la différence entre un registre en façade et un registre réellement défendable.
— Passez à l'action —
RGPD Santé accompagne les structures de santé dans la construction et la mise à jour de leur registre des activités de traitement — avec la rigueur juridique que le secteur impose.
