Si vous dirigez une PME suisse, vous avez peut-être entendu parler du registre des activités de traitement sans vraiment savoir si vous êtes concerné — ni par où commencer. Ce guide répond à ces deux questions et vous donne un modèle concret à adapter immédiatement.
Qu'est-ce que le registre des activités de traitement ?
Le registre des activités de traitement est un document interne qui répertorie toutes les opérations par lesquelles votre entreprise collecte, utilise, stocke, transmet ou supprime des données personnelles. En droit suisse, l'obligation est posée par l'article 12 de la nouvelle Loi fédérale sur la protection des données (nLPD, fedlex.admin.ch) et précisée par l'article 24 de l'Ordonnance sur la protection des données (OPDo).
Concrètement, chaque ligne du registre correspond à une activité de traitement distincte : par exemple, la gestion de votre liste de diffusion, le traitement des dossiers du personnel, ou encore l'analyse du trafic de votre site web.
Ce document n'est pas public — il reste interne — mais il doit pouvoir être présenté au Préposé fédéral à la protection des données et à la transparence (PFPDT) en cas de contrôle ou d'enquête.
Base légale : qui est obligé de tenir ce registre ?
L'art. 12 al. 5 nLPD prévoit une exception formelle pour les entreprises de moins de 250 collaborateurs dont les activités de traitement ne présentent pas de risque élevé pour les personnes concernées. En pratique, cela signifie :
- Obligatoire pour toute entreprise de 250 collaborateurs ou plus.
- Obligatoire pour toute entreprise, quelle que soit sa taille, dont les traitements présentent un risque élevé : profilage intensif, traitement à grande échelle de données sensibles (santé, opinions politiques, données biométriques), surveillance systématique de l'espace public, etc.
- Fortement recommandé pour toutes les autres PME, même en dessous du seuil.
Ce dernier point mérite qu'on s'y attarde.
Pourquoi les petites PME devraient quand même tenir un registre
L'exemption légale ne signifie pas que tenir un registre est inutile pour une petite structure. Voici pourquoi la grande majorité des conseillers en conformité suisses recommandent de le faire malgré tout.
1. Le PFPDT peut enquêter sur n'importe quelle entreprise. Si un collaborateur, un client ou un concurrent dépose une plainte, le PFPDT peut ouvrir une procédure indépendamment de votre taille. Présenter un registre soigné constitue une preuve tangible de bonne foi qui peut influencer favorablement l'issue d'un contrôle.
2. Le registre structure votre réflexion. En listant vos traitements, vous identifiez naturellement les données que vous collectez sans réelle nécessité, les durées de conservation trop longues, ou les sous-traitants auxquels vous n'avez jamais réfléchi en termes de protection des données.
3. Il facilite la rédaction de votre politique de confidentialité. Un registre complet est la source de vérité depuis laquelle vous alimentez votre politique publique : vous savez exactement quoi y écrire, sans risque d'oublier un traitement.
4. Il prépare votre réponse aux demandes d'accès. La nLPD renforce le droit d'accès des personnes concernées (art. 25). Avec un registre en place, vous savez en quelques secondes quelles données vous détenez sur une personne et où elles se trouvent.
Les mentions obligatoires selon l'art. 12 nLPD
L'article 12 nLPD liste les informations minimales que doit contenir chaque entrée du registre. L'art. 24 OPDo complète ces exigences pour les sous-traitants. Voici ce que le responsable du traitement (votre entreprise, dans la plupart des cas) doit documenter :
| Champ requis | Description |
|---|---|
| Identité du responsable | Raison sociale, adresse, coordonnées du responsable de la protection des données le cas échéant |
| Finalité du traitement | But précis pour lequel les données sont collectées et utilisées |
| Catégories de personnes concernées | Clients, collaborateurs, prospects, visiteurs du site, etc. |
| Catégories de données personnelles | Coordonnées, données financières, données de santé, données de navigation, etc. |
| Catégories de destinataires | Entités internes ou externes qui reçoivent les données (sous-traitants, partenaires, autorités) |
| Durées de conservation | Combien de temps chaque catégorie de données est conservée avant suppression ou anonymisation |
| Transferts à l'étranger | Destination, base légale du transfert (pays adéquat, clauses contractuelles types, etc.) |
| Mesures de sécurité | Principales mesures techniques et organisationnelles (chiffrement, contrôle des accès, etc.) |
Pour les sous-traitants (prestataires qui traitent des données pour votre compte), l'art. 24 OPDo prévoit des mentions similaires, notamment l'identité du responsable du traitement pour le compte duquel ils agissent.
Guide étape par étape : créer votre registre depuis zéro
Étape 1 — Inventorier vos traitements
Avant de remplir la moindre case, faites un tour d'horizon de toutes les situations où votre entreprise collecte ou utilise des données personnelles. Posez-vous ces questions par département :
- Marketing : newsletter, publicité en ligne, formulaires de contact, analyses de trafic ?
- Commercial : CRM, gestion des devis et factures, historique d'achats ?
- RH : recrutement, dossiers du personnel, fiches de salaire, évaluations ?
- IT : logs de connexion, accès aux systèmes, sauvegardes ?
- Finance : paiements, comptabilité, relevés bancaires ?
Notez tout, même ce qui vous semble anodin. Vous ferez le tri ensuite.
Étape 2 — Regrouper par activité cohérente
Chaque traitement distinct doit avoir sa propre entrée. La règle pratique : si la finalité ou les catégories de données diffèrent significativement, créez une nouvelle entrée. Par exemple, "envoi de newsletters commerciales" et "analyse statistique du site web" sont deux traitements distincts même s'ils utilisent tous deux des adresses e-mail.
Étape 3 — Identifier la base juridique de chaque traitement
La nLPD ne requiert pas que vous documentiez formellement la base juridique dans le registre (contrairement au RGPD), mais c'est une bonne pratique. Les bases possibles sont le consentement, l'exécution d'un contrat, une obligation légale, un intérêt légitime prépondérant, ou la sauvegarde d'un intérêt vital.
Étape 4 — Documenter les durées de conservation
C'est souvent la colonne la plus difficile à remplir. Partez des obligations légales (CO : 10 ans pour les documents comptables ; droit du travail : durées variables selon les documents) et complétez avec vos propres règles métier. En l'absence d'obligation spécifique, appliquez le principe de minimisation : conservez les données uniquement aussi longtemps que nécessaire à la finalité déclarée.
Étape 5 — Recenser les sous-traitants et transferts hors Suisse
Pour chaque traitement, listez les prestataires tiers qui accèdent aux données : hébergeurs, outils SaaS, agences, consultants. Précisez leur localisation. Si des données sont transférées vers des pays hors Suisse et hors liste des pays reconnus adéquats par le PFPDT, vous devez prévoir des garanties appropriées (clauses contractuelles types, règles d'entreprise contraignantes, etc.).
Étape 6 — Décrire les mesures de sécurité principales
Vous n'avez pas besoin d'un inventaire exhaustif de votre infrastructure IT. Mentionnez les mesures essentielles : chiffrement des données au repos et en transit, contrôle des accès par rôle, authentification à deux facteurs, politique de sauvegarde, procédure de gestion des incidents.
Étape 7 — Tenir le registre à jour
Le registre n'est pas un document qu'on crée une fois pour toutes. Chaque fois que vous lancez un nouveau service, adoptez un nouvel outil SaaS, ou modifiez substantiellement un traitement existant, mettez-le à jour. Prévoyez une revue annuelle a minima.
Modèle de registre : tableau prêt à l'emploi
Voici un modèle simplifié que vous pouvez adapter dans un tableur ou un outil de gestion documentaire. Les quatre exemples couvrent les traitements les plus courants dans une PME.
| Activité de traitement | Finalité | Catégories de personnes | Catégories de données | Destinataires | Conservation | Transferts hors CH | Mesures de sécurité |
|---|---|---|---|---|---|---|---|
| Analyse du trafic web | Mesure d'audience, amélioration du site | Visiteurs du site | Adresse IP (anonymisée), pages visitées, durée de session, type d'appareil | Google LLC (Google Analytics) | 14 mois (paramétré dans GA4) | États-Unis — Clauses contractuelles types UE | Anonymisation IP activée, consentement préalable via CMP |
| Newsletter marketing | Communication commerciale, fidélisation | Abonnés (clients et prospects) | Prénom, adresse e-mail, historique d'ouverture | Brevo (Sendinblue) SA | Jusqu'à désabonnement + 3 ans | France (UE) — Protection adéquate reconnue | Double opt-in, lien de désabonnement dans chaque envoi |
| CRM clients | Gestion de la relation client, suivi commercial | Clients, prospects | Nom, prénom, e-mail, téléphone, historique d'achats, correspondance | Équipe commerciale interne, HubSpot Inc. | Durée de la relation + 10 ans (CO) | États-Unis — Clauses contractuelles types | Accès restreint par rôle, chiffrement TLS, authentification 2FA |
| Données du personnel | Gestion RH, paie, obligations légales | Collaborateurs | Données d'identité, coordonnées, salaire, contrat, évaluations, absences | Direction, service comptable, caisse de pension, autorités fiscales | Durée du contrat + 10 ans (CO) | Aucun | Accès limité RH/direction, stockage chiffré, serveurs en Suisse |
Ce tableau est un point de départ. Adaptez les colonnes à vos outils réels et à la complexité de vos traitements.
Ce que PrivaGuard Business fait pour vous
Gérer ce registre dans un tableur est un début, mais cela devient vite fastidieux dès que vos traitements se multiplient. Le module Registre des traitements de PrivaGuard Business vous permet de :
- Créer et gérer chaque activité de traitement dans une interface structurée
- Générer automatiquement un document PDF conforme à l'art. 12 nLPD, prêt à présenter au PFPDT
- Recevoir des rappels de mise à jour lors de l'ajout d'un nouveau site ou d'un nouveau scanner
- Centraliser registre, politique de confidentialité et bannière de consentement dans un seul outil
C'est la solution pensée pour les PME suisses qui veulent une conformité solide sans embaucher un DPO à temps plein.
Questions fréquentes
Dois-je absolument utiliser un format spécifique ? Non. La nLPD n'impose pas de format particulier. Un tableur bien structuré, un document Word, ou un outil dédié comme PrivaGuard conviennent tous, à condition de couvrir les mentions de l'art. 12.
Le registre doit-il être en français ? Pas nécessairement — il doit être dans la langue de travail de votre entreprise. En cas de contrôle du PFPDT, vous devrez pouvoir le présenter de manière compréhensible.
Que risque-t-on sans registre ? La nLPD sanctionne pénalement certaines violations (jusqu'à CHF 250 000 pour la personne physique responsable), mais l'absence de registre n'est pas directement sanctionnée par une amende automatique. Le vrai risque est d'ordre réputationnel et opérationnel : en cas d'incident de sécurité ou de plainte, l'absence de registre fragilise votre position face au PFPDT.
Un sous-traitant doit-il aussi tenir un registre ? Oui. Si vous traitez des données personnelles pour le compte de clients (hébergement, comptabilité externalisée, etc.), l'art. 24 OPDo vous impose un registre spécifique aux traitements réalisés en qualité de sous-traitant.
La première étape d'une conformité nLPD solide commence par connaître ce que vous collectez réellement. Analysez gratuitement votre site web avec PrivaScan : en quelques minutes, vous obtenez la liste complète des cookies et traceurs actifs, classés par catégorie, avec les éléments non conformes clairement identifiés.