Qu'est-ce que Willaw ?

Willaw est une plateforme SaaS de conformité RGPD tout-en-un avec intelligence artificielle intégrée, destinée aux entreprises françaises (TPE, PME, ETI, grandes entreprises). Elle automatise le registre des traitements, les analyses d'impact (DPIA), la gestion des sous-traitants et le portail d'exercice des droits.

Willaw utilise-t-il l'intelligence artificielle ?

Oui, Willaw intègre un copilot IA juridique RGPD avec deux modèles au choix : Google Gemini pour une compréhension contextuelle avancée, et Mistral AI, un modèle français dont les données sont traitées exclusivement en Europe pour garantir la souveraineté numérique.

Quels secteurs d'activité Willaw couvre-t-il ?

Willaw couvre de nombreux secteurs : services numériques, santé, finance, commerce, industrie, éducation, associations, immobilier et transport. Les recommandations IA sont adaptées aux spécificités réglementaires de chaque secteur.

Combien coûte Willaw ?

Willaw propose un essai gratuit pour découvrir la plateforme. Plusieurs plans tarifaires sont disponibles pour s'adapter aux besoins des TPE, PME et grandes entreprises. Contactez-nous pour un devis personnalisé.

Willaw est-il conforme au RGPD lui-même ?

Oui, Willaw est conçu dans le respect total du RGPD. Les données sont hébergées en Europe, le chiffrement est appliqué aux données sensibles, et l'option Mistral AI garantit un traitement 100% européen des données.

Registre des traitements RGPD : le guide pratique pour 2026

Le registre des activités de traitement est la première brique de toute démarche de conformité RGPD. Prévu par l'article 30 du règlement, c'est à la fois une obligation légale et un outil de pilotage. Pourtant, huit ans après l'entrée en application du RGPD, beaucoup d'organisations n'en disposent toujours pas — ou possèdent un registre incomplet, obsolète, inutilisable. Ce guide fait le point sur ce que le registre doit contenir, qui est concerné, et comment le construire efficacement.

Qu'est-ce que le registre des traitements ?

Le registre des activités de traitement est un document qui recense l'ensemble des traitements de données personnelles mis en œuvre par une organisation. Selon la CNIL, c'est un « document de recensement et d'analyse » qui doit refléter la réalité des traitements et permettre d'identifier précisément les parties prenantes, les finalités, les catégories de données, les destinataires et les mesures de sécurité.

Au-delà de l'obligation légale, le registre est un véritable outil de pilotage de la conformité. Il permet de se poser les bonnes questions : ai-je vraiment besoin de cette donnée ? Est-il pertinent de la conserver aussi longtemps ? Les accès sont-ils justifiés ? C'est aussi le premier document que la CNIL demandera en cas de contrôle.

Qui doit tenir un registre ?

La réponse courte : pratiquement tout le monde. L'article 30 du RGPD prévoit une dérogation pour les organisations de moins de 250 salariés, mais cette dérogation est extrêmement limitée. Elle ne s'applique pas dès lors que le traitement n'est pas occasionnel — ce qui est le cas de la quasi-totalité des entreprises qui gèrent une paie, un fichier clients, un site web ou une messagerie professionnelle.

En pratique, la CNIL considère que toute organisation qui traite des données personnelles de manière régulière dans le cadre de ses activités doit tenir un registre. Cela inclut les TPE, les PME, les associations, les collectivités, les professions libérales et les grandes entreprises.

Point important pour les sous-traitants
Les organismes qui traitent des données pour le compte d'un autre organisme (prestataires informatiques, agences de marketing, hébergeurs, etc.) doivent également tenir un registre spécifique de leurs activités de sous-traitance. Si vous êtes à la fois responsable de traitement et sous-traitant, la CNIL recommande de tenir deux registres distincts.

Que doit contenir le registre ?

L'article 30 du RGPD énumère les informations obligatoires pour chaque traitement. Le registre du responsable de traitement doit inclure :

le nom et les coordonnées du responsable de traitement (et du DPO le cas échéant),
les finalités du traitement,
les catégories de personnes concernées et les catégories de données personnelles,
les catégories de destinataires,
les transferts de données hors UE le cas échéant,
les délais prévus pour l'effacement des données (durées de conservation),
une description générale des mesures de sécurité techniques et organisationnelles.

La CNIL recommande d'enrichir le registre avec des informations complémentaires qui ne sont pas strictement exigées par l'article 30 mais qui sont prévues par d'autres articles du RGPD (notamment les articles 13, 14 et 15) : la base légale du traitement (consentement, contrat, obligation légale, intérêt légitime, etc.), le caractère obligatoire ou facultatif de la collecte, l'existence d'une prise de décision automatisée, et les droits RGPD applicables. Ce registre enrichi devient alors un véritable outil de pilotage de la conformité, et non plus un simple document administratif.

Le registre de la CNIL elle-même
La CNIL publie son propre registre des traitements sur son site. Il comporte 56 fiches de traitement, couvrant des activités aussi variées que la gestion des plaintes, les contrôles, les ressources humaines ou le site web. C'est une référence utile pour comprendre le niveau de détail attendu.

Les cinq erreurs les plus fréquentes

Un registre figé dans le temps. Le registre n'est pas un document que l'on rédige une fois pour toutes. Il doit refléter la réalité des traitements à un instant donné, ce qui suppose des mises à jour régulières à chaque évolution (nouveau traitement, changement de sous-traitant, modification de finalité). Un registre daté de 2018 ne protège pas en cas de contrôle en 2026.
Des finalités trop vagues. « Gestion de l'entreprise » ou « traitement des données clients » ne sont pas des finalités au sens du RGPD. Chaque traitement doit avoir une finalité déterminée, explicite et légitime : gestion de la paie, prospection commerciale par email, suivi des candidatures, etc.
Des durées de conservation absentes ou irréalistes. Les données ne peuvent pas être conservées indéfiniment. Chaque traitement doit préciser une durée de conservation cohérente avec sa finalité, les référentiels CNIL et les obligations légales applicables (par exemple, trois ans après la fin de la relation commerciale pour les données de prospection).
L'oubli des sous-traitants. Beaucoup de registres ne mentionnent pas les sous-traitants qui accèdent aux données (hébergeur, outil CRM, prestataire de paie, solution emailing). Or l'article 30 exige d'identifier les catégories de destinataires, et la CNIL a sanctionné en 2025 des organismes pour défaut de maîtrise de leurs sous-traitants.
Confondre registre du responsable et registre du sous-traitant. Si vous traitez des données pour le compte de vos clients (en tant que prestataire), vous devez tenir un registre spécifique de sous-traitant, distinct de votre registre de responsable de traitement. Les informations requises ne sont pas les mêmes.

Comment construire son registre : méthode en quatre étapes

Étape 1 : cartographier les traitements existants

Partez de vos activités métier, pas de vos outils. Pour chaque service ou processus (RH, commercial, comptabilité, IT, communication), identifiez les données personnelles collectées, leur finalité, et les personnes concernées. Une PME classique a généralement plusieurs dizaines de traitements à documenter (gestion de la paie, fichier clients, site web, vidéosurveillance, messagerie, etc.).

Étape 2 : renseigner les informations obligatoires

Pour chaque traitement identifié, complétez les champs prévus par l'article 30 : finalité, base légale, catégories de données, destinataires, durées de conservation, mesures de sécurité, transferts hors UE. C'est l'étape la plus chronophage, car elle exige de vérifier chaque information auprès des équipes concernées.

Étape 3 : identifier les actions correctives

La construction du registre fait souvent apparaître des non-conformités : données conservées sans justification, absence de base légale pour certains traitements, sous-traitants non encadrés contractuellement. Documentez ces constats et priorisez les actions à mener.

Étape 4 : mettre en place un processus de mise à jour

Définissez qui est responsable de la mise à jour du registre (le DPO, le responsable conformité, ou le dirigeant dans les petites structures), à quelle fréquence il est revu (au minimum une fois par an), et quels événements déclenchent une mise à jour immédiate (nouveau traitement, changement de sous-traitant, violation de données).

Quel format ?
Le RGPD impose uniquement que le registre soit « sous une forme écrite, y compris la forme électronique ». Le format est libre : tableur, outil dédié, document texte. La CNIL propose un modèle de registre simplifié au format ODS sur son site. Pour les organisations gérant de nombreux traitements ou plusieurs entités, un outil spécialisé devient vite indispensable pour maintenir le registre à jour et exploitable.

Ce que l'IA change pour la tenue du registre

La construction et la maintenance d'un registre sont des tâches intrinsèquement répétitives et documentaires — exactement le type de travail où l'intelligence artificielle apporte le plus de valeur.

La création assistée. Plutôt que de partir d'une page blanche, une IA spécialisée peut proposer des traitements pré-remplis adaptés au secteur d'activité et à la taille de l'organisation. Un cabinet médical, un e-commerçant et une collectivité territoriale n'ont pas les mêmes traitements — l'IA le sait et ajuste ses suggestions. Le DPO ou le dirigeant n'a plus qu'à valider et compléter.

La détection d'incohérences. L'IA peut analyser le registre et alerter sur les anomalies : une durée de conservation qui ne correspond pas aux référentiels CNIL pour le secteur, une base légale inadaptée au type de traitement, un traitement à risque qui nécessiterait une analyse d'impact non encore réalisée.

La scalabilité pour les DPO externes. Un DPO externe qui gère 30 ou 50 clients doit maintenir autant de registres à jour. Sans assistance, c'est un gouffre de temps. Avec une plateforme IA qui centralise les registres, adapte les suggestions par secteur et alerte sur les mises à jour nécessaires, le DPO peut passer à l'échelle sans sacrifier la qualité.

L'IA ne remplace pas la validation humaine
Aussi performante soit-elle, l'IA ne connaît pas les spécificités internes de chaque organisation. Les traitements suggérés doivent toujours être validés par quelqu'un qui connaît le terrain — le DPO, le dirigeant ou le responsable métier. L'IA accélère le travail, elle ne le remplace pas.

Ce qu'il faut en retenir

Le registre des traitements n'est pas un document bureaucratique à produire une fois et à oublier dans un tiroir. C'est le socle de votre conformité RGPD, le premier document que la CNIL examinera en cas de contrôle, et un outil précieux pour piloter votre gouvernance des données.

Si vous n'avez pas encore de registre, commencez par là. Si vous en avez un mais qu'il date de 2018 ou 2020, c'est le moment de le remettre à jour. Et si vous gérez la conformité de plusieurs clients, un outil adapté n'est plus un luxe — c'est une nécessité opérationnelle.

Besoin de construire ou mettre à jour votre registre des traitements ?
Willaw génère un registre adapté à votre secteur en quelques minutes, avec l'assistance de l'IA.

Demander une démo gratuite · Créer un compte

Changement d'entreprise