Registre des activités de traitement (art. 30 RGPD)
Téléchargez le registre RGPD art. 30 listant les 6 traitements PV-Express.
L'article 30 du RGPD impose à tout responsable du traitement la tenue d'un registre des activités de traitement. Ce document recense l'ensemble des traitements de données personnelles opérés au sein de l'organisation, et constitue la première pièce demandée par la CNIL en cas de contrôle.
Votre cabinet d'expertise comptable est, vis-à-vis de l'usage qu'il fait de PV-Express, responsable du traitement : c'est lui qui décide des finalités et des moyens, et c'est donc à lui qu'incombe l'obligation de tenue du registre.
Pour vous éviter de partir d'une page blanche, PV-Express génère automatiquement un registre pré-rempli couvrant les 6 traitements opérés via l'application, avec votre identité cabinet déjà intégrée.
Qui est concerné par l'obligation
L'article 30.5 RGPD prévoyait initialement une dispense pour les organismes de moins de 250 salariés. Cette dispense est en pratique inapplicable à un cabinet EC car elle est levée dès lors que :
- Le traitement est susceptible de comporter un risque pour les droits et libertés des personnes, ou
- Le traitement n'est pas occasionnel, ou
- Le traitement porte sur des données sensibles ou relatives à des condamnations.
Le traitement quotidien et systématique de données comptables et sociales coche le critère « non occasionnel ». Le registre est donc obligatoire pour tout cabinet EC, quelle que soit sa taille.
Où le télécharger
Menu Settings → Conformité RGPD → Documents de conformité → Registre des traitements.
Le PDF généré reprend automatiquement les informations renseignées dans Identité légale du cabinet : raison sociale, SIREN, adresse, coordonnées du DPO ou du référent RGPD si renseignées.
Les 6 traitements pré-remplis
Le registre PV-Express liste les 6 traitements opérés par l'application, avec pour chacun l'ensemble des mentions obligatoires de l'article 30.1 :
1. Authentification des utilisateurs
| Élément | Valeur |
|---|---|
| Finalité | Sécurisation de l'accès et traçabilité |
| Base légale | Intérêt légitime (art. 6.1.f) |
| Catégories de données | Email, mot de passe haché, secret TOTP, IP de connexion |
| Personnes concernées | Collaborateurs du cabinet |
| Destinataires | Cabinet, hébergeur (OVHcloud) |
| Durée de conservation | Durée du contrat + 1 an |
2. Traitement des plaquettes comptables
| Élément | Valeur |
|---|---|
| Finalité | OCR et extraction structurée des données financières |
| Base légale | Exécution du contrat (art. 6.1.b) |
| Catégories de données | Données comptables, identité des dirigeants et associés |
| Personnes concernées | Dirigeants, associés, bénéficiaires effectifs |
| Destinataires | Cabinet, Mistral AI (OCR), Anthropic (rédaction assistée) |
| Durée de conservation | 10 ans (art. L. 123-22 C. com.) |
3. Signature électronique
| Élément | Valeur |
|---|---|
| Finalité | Recueil des signatures sur les PV d'AGOA |
| Base légale | Exécution du contrat et obligation légale |
| Catégories de données | Identité du signataire, preuve de signature, certificat |
| Personnes concernées | Dirigeants, associés signataires |
| Destinataires | Cabinet, Yousign |
| Durée de conservation | Durée légale de conservation du document signé |
4. Emails transactionnels
| Élément | Valeur |
|---|---|
| Finalité | Notifications de signature, dépôt, alertes système |
| Base légale | Exécution du contrat (art. 6.1.b) |
| Catégories de données | Email, contenu fonctionnel du message |
| Personnes concernées | Collaborateurs du cabinet, signataires |
| Destinataires | Cabinet, Resend |
| Durée de conservation | 12 mois (logs d'envoi) |
5. Facturation et abonnement
| Élément | Valeur |
|---|---|
| Finalité | Facturation de l'abonnement PV-Express |
| Base légale | Exécution du contrat (art. 6.1.b) |
| Catégories de données | Raison sociale, SIREN, adresse, moyen de paiement |
| Personnes concernées | Cabinet client (personne morale) |
| Destinataires | Mytm-Group, Stripe |
| Durée de conservation | 10 ans (art. L. 123-22 C. com.) |
6. Audit log
| Élément | Valeur |
|---|---|
| Finalité | Traçabilité des opérations sensibles |
| Base légale | Obligation légale et intérêt légitime |
| Catégories de données | Identifiant utilisateur, action, horodatage, IP |
| Personnes concernées | Collaborateurs du cabinet |
| Destinataires | Cabinet (lecture seule) |
| Durée de conservation | 6 ans (durée recommandée par la CNIL) |
Voir le détail technique de la traçabilité dans Audit log.
Compléter le registre avec vos propres traitements
Le registre généré par PV-Express ne couvre que les traitements opérés via l'application. Votre cabinet doit y ajouter ses propres traitements internes : paie collaborateurs, CRM commercial, candidatures RH, prospection, vidéoprotection des locaux, etc.
Le PDF est livré au format éditable (texte sélectionnable, tableaux modifiables) afin que le DPO ou le référent RGPD puisse le compléter avec les traitements propres au cabinet, sans repartir d'une feuille blanche.
Mise à jour du registre
Le registre est versionné et regénéré automatiquement à chaque modification substantielle (ajout d'un sous-traitant ultérieur, évolution d'une finalité, changement de durée de conservation). Une nouvelle version est notifiée au compte owner du cabinet.
L'article 30.4 impose la mise à disposition du registre à toute demande de la CNIL, sous format écrit, y compris électronique.
Pour aller plus loin sur les obligations RGPD d'un cabinet, consultez la check-list RGPD pour cabinet EC.