Selon la législation suisse, le registre des traitements est un outil central de conformité LPD, mais il ne se résume pas à une feuille Excel remplie une fois et oubliée. Pour une PME, le vrai risque n’est pas seulement de ne pas avoir de registre, c’est d’avoir un registre incohérent qui contredit vos contrats, vos outils et vos pratiques. Un registre défendable doit refléter votre réalité opérationnelle, et surtout pouvoir être expliqué simplement.

1. Votre PME doit-elle tenir un registre des traitements

En pratique, beaucoup de PME en Suisse romande devraient pouvoir documenter leurs traitements, ne serait-ce que parce qu’elles traitent des données de clients, de prospects, d’employés, et qu’elles utilisent des prestataires externes comme un hébergeur, un outil de newsletter, un CRM ou une solution de ticketing. La législation suisse prévoit des situations où l’obligation peut être allégée pour certaines organisations. Mais cette appréciation dépend fortement de votre activité, des types de données traitées et des risques. Dès que vous gérez des données sensibles ou que vos traitements ne sont pas purement accessoires, un registre bien tenu devient généralement une pièce de base pour démontrer votre sérieux.

2. À quoi ressemble un registre défendable

Un registre défendable, c’est un registre qui répond à deux questions très concrètes. D’abord, « que faites-vous exactement avec les données ? ». Ensuite, « comment le prouvez-vous avec des éléments vérifiables ? ». Pour être utile en cas de contrôle, et aussi en interne lorsqu’un incident arrive ou qu’un client exerce ses droits, un registre solide couvre généralement les éléments suivants, de manière structurée et cohérente.

• Le traitement avec un nom clair, par exemple « Gestion des prospects (newsletter et formulaires web) ».
• Les finalités, décrites en langage simple, sans termes vagues du type « amélioration des services » si vous ne pouvez pas l’expliquer.
• Les catégories de données, par exemple coordonnées, historique d’achats, échanges de support, données RH, selon votre cas.
• Les catégories de personnes concernées, par exemple clients, prospects, employés, candidats.
• Les destinataires et accès, y compris l’accès interne par rôles, et les accès externes via prestataires.
• Les prestataires et sous-traitants, avec une formulation qui colle à vos contrats et à vos paramétrages réels.
• Les transferts à l’étranger si vos outils impliquent des flux hors de Suisse, avec une description factuelle.
• Les durées de conservation sous forme de règles internes, par exemple « durée liée à la relation contractuelle, puis archivage limité selon la politique interne ».
• Les mesures de sécurité décrites de façon vérifiable, par exemple MFA, gestion des droits, journalisation, sauvegardes, chiffrement, processus de départ d’un collaborateur.
• Le responsable interne du traitement, pour qu’un contrôle ne devienne pas un jeu de piste.

Le niveau de détail doit rester pragmatique. Un registre trop théorique ne servira pas le jour où vous devrez expliquer ce que fait votre CRM, qui peut exporter des listes, ou comment vous gérez l’accès d’un prestataire IT.

3. Exemples concrets de lignes de registre pour une PME

Voici des exemples typiques, à adapter. Le but n’est pas de copier, mais de vous aider à voir le niveau d’information attendu pour que le registre soit crédible.

• Gestion clients et exécution des contrats. Finalités : gestion des commandes, facturation, support, suivi de relation. Données : identité, coordonnées, historique de commande, échanges support. Accès : vente, comptabilité, support, accès limité par rôles. Prestataires : solution de facturation, hébergeur, prestataire IT selon vos contrats. Sécurité : droits d’accès, sauvegardes, authentification renforcée si disponible.
• Prospection et newsletter. Finalités : envoi d’informations commerciales, mesure de performance de campagne. Données : email, préférences, interactions (ouverture, clic) si activé. Accès : marketing, direction, prestataire externe si mandaté. Points sensibles : gestion des désinscriptions, preuve de consentement si vous vous fondez sur ce mécanisme, paramétrage de suivi.
• Ressources humaines et paie. Finalités : gestion du personnel, salaires, assurances, obligations légales. Données : données contractuelles, données salariales, absences, et parfois données sensibles selon les dossiers. Accès : RH et direction, fiduciaire ou prestataire paie si applicable. Sécurité : séparation des accès, gestion des dossiers papier, processus d’entrée et de sortie.
• Informatique et sécurité (logs, comptes, équipements). Finalités : administration des accès, cybersécurité, continuité. Données : identifiants, journaux techniques, données de poste selon configuration. Accès : IT interne ou prestataire IT, accès encadré et tracé si possible. Point de cohérence : aligner le registre avec vos politiques internes et votre réalité technique.

4. Erreurs fréquentes des modèles copiés-collés

Les modèles gratuits peuvent aider à démarrer, mais c’est aussi là que naissent les registres dangereux. Quelques erreurs reviennent souvent dans les PME en Suisse romande.

• Finalités trop larges qui ne correspondent à rien de concret, puis impossibles à défendre si on vous demande « pourquoi cette donnée ? ».
• Prestataires oubliés, par exemple l’outil de newsletter, le CRM, la sauvegarde cloud, ou le support IT qui a un accès à distance.
• Transferts à l’étranger ignorés alors que certains outils impliquent des flux hors de Suisse, selon leurs infrastructures et réglages.
• Durées de conservation irréalistes comme « conservation illimitée » ou au contraire des durées trop courtes qui ne collent pas à vos obligations ou à votre organisation.
• Mesures de sécurité décoratives, du type « données sécurisées ». En cas de question, vous devez pouvoir dire qui a accès, comment vous gérez les mots de passe, comment vous désactivez un compte, où sont les sauvegardes.
• Registre non maintenu. Un changement de CRM, un nouveau prestataire IT ou un nouvel outil RH peut rendre le registre faux du jour au lendemain.

Le registre n’est pas un exercice pour faire plaisir. C’est une carte de vos données. Si la carte est fausse, vous prenez le risque de vous contredire quand vous répondez à une demande d’accès, quand un incident survient, ou quand un partenaire vous demande des garanties.