RGPD Registre des Activités de Traitement (Article 30 RoPA): Le guide ultime

Votre entreprise doit créer et tenir à jour des registres des activités de traitement pour se conformer au règlement général sur la protection des données (RGPD) de l'UE. Si vous ne tenez pas ces registres, vous enfreignez la loi.

De nombreux exploitants de sites web et propriétaires d'entreprises, en général, pensent qu'il suffit d'avoir une politique de confidentialité et une bannière de cookies pour être en conformité avec le RGPD. Ce n'est pas le cas.

Mais ne vous inquiétez pas, la création d'un RoPA n'est pas sorcier. Si vous connaissez vos flux de données, vous en créerez un et le maintiendrez à jour sans trop d'efforts.

Dans cet article, nous allons entrer dans les détails des RoPA et vous expliquer comment en créer un pour votre entreprise.

Vous apprendrez:

• Qu'est-ce que l'article 30 du RGPD: Registres des activités de traitement?
• Qui doit créer et tenir à jour un ROPA (et qui n'a pas besoin de le faire)?
• Quelles sont les exigences en matière de RoPA?
• Que doit contenir un RoPA?
• Comment créer et tenir à jour un RoPA?
• Comment maintenir un RoPA à jour?
• Où trouver un modèle de RoPA?
  

Qu'est-ce que l'article 30 du RGPD: Registre des activités de traitement (ROPA)?

Le considérant 82 du RGPD stipule : "Afin de démontrer le respect du présent règlement, le responsable du traitement ou le sous-traitant doit tenir des registres des activités de traitement relevant de sa responsabilité. Chaque responsable du traitement et chaque sous-traitant devraient être tenus de coopérer avec l'autorité de contrôle et de mettre ces registres à sa disposition, sur demande, afin qu'ils puissent servir à contrôler ces opérations de traitement".

Cela signifie clairement que la LPRP est nécessaire lorsque les autorités chargées de la protection des données frappent à votre porte et demandent vos registres des activités de traitement pour se faire une idée de ce qui se passe avec les données à caractère personnel au sein de votre organisation.

En attendant, le ROPA doit être tenu à jour dans vos dossiers.

Qui doit créer et tenir à jour un RoPA?

Conformément à l'article 30 du RGPD, un ROPA est obligatoire pour tout responsable du traitement ou sous-traitant de données qui compte plus de 250 employés. Les entreprises comptant moins de 250 employés doivent tenir à jour un RoPA si elles traitent des données personnelles sensibles (catégories spéciales de données) ou des données relatives à des condamnations pénales.

Pour toutes les autres, l'existence d'un tel registre est une bonne pratique.

En quoi le registre des activités de traitement diffère-t-il de la carte des données?

La carte des données n'est pas un document officiel requis par le RGPD. Elle ne fait pas partie de la mise en conformité des entreprises avec le RGPD. Il s'agit d'un outil permettant de cartographier les flux de données et d'éclairer les décisions relatives à la confidentialité des données au sein de l'entreprise.

En revanche, certains responsables du traitement des données et sous-traitants exigent le ROPA, qu'une autorité de contrôle peut également demander.

Comment le ROPA contribue-t-il au respect de la protection des données personnelles?

Le ROPA contribue au respect de la protection des données en garantissant que l'organe de contrôle dispose d'un dossier s'il vérifie les pratiques d'une entreprise en matière de protection de la vie privée. En outre, il permet de mettre sur papier, de manière claire et concise, les flux de données au sein de l'entreprise.

D'une part, cela apporte une plus grande clarté à l'entreprise. D'autre part, il aide l'entreprise à rendre des comptes.

Quelles sont les exigences du RGPD pour le RoPA?

Le RGPD prescrit qui a besoin d'un ROPA, ce qu'il doit contenir et qui est exempté de l'obligation d'en tenir un.

Que doivent contenir les RoPA?

L'article 30 prévoit des exigences légèrement différentes pour les responsables du traitement des données et les sous-traitants.

Les responsables du traitement doivent inclure:

• le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données
• les finalités du traitement
• Une description des catégories de personnes concernées et des catégories de données à caractère personnel
• les catégories de destinataires auxquels les données à caractère personnel ont été ou seront divulguées, y compris les destinataires dans des pays tiers ou des organisations internationales.
• les transferts de données à caractère personnel vers un pays tiers ou une organisation internationale, y compris la documentation relative aux garanties appropriées
• les périodes de conservation des données, et
• une description générale des mesures techniques et organisationnelles mises en œuvre.

Le ROPA du responsable du traitement des données doit inclure:

• Le nom et les coordonnées du ou des sous-traitants et de chaque responsable du traitement pour le compte duquel le sous-traitant agit et, le cas échéant, du représentant du responsable du traitement ou du sous-traitant, ainsi que du délégué à la protection des données.
• les catégories de traitement effectuées pour le compte de chaque responsable du traitement.
• les transferts de données à caractère personnel vers un pays tiers ou une organisation internationale, y compris la documentation relative aux garanties appropriées, et
• une description générale des mesures techniques et organisationnelles mises en œuvre.

Il n'y a pas de format spécifique dans lequel ces informations doivent être conservées. Vous êtes libre de les créer de la manière qui convient à votre entreprise, pour autant qu'elle atteigne son objectif.

Toutefois, vous devez veiller à ce que les informations qu'il contient soient détaillées.

Voici à quoi elles ne doivent pas ressembler:

Finalité du traitement analyse, marketing Catégories de personnes concernées visiteurs du site web, abonnés au courrier électronique Tiers : destinataires des données Google, Meta, Bytedance et Mailchimp Transferts internationaux de données États-Unis

Le tableau ci-dessus est erroné. Vous devriez plutôt procéder de la manière suivante:

Catégorie de données Finalité du traitement Tiers: destinataires Transferts internationaux de données Adresse électronique marketing Mailchimp États-Unis Adresse IP analytique Google États-Unis Détails de l'appareil analytique Google États-Unis Détails de l'appareil (le champ doit être fusionné avec celui ci-dessus) marketing Google, Meta, et Bytedance États-Unis.

Le tableau ci-dessus n'est pas complet non plus, car il n'y a pas assez d'espace sur cette page web pour inclure toutes les informations, mais vous avez une idée du niveau de détail nécessaire pour un ROPA conforme au RGPD.

Le ROPA doit-il être publié sur le site web?

Le ROPA n'a pas besoin d'être publié sur votre site web. Il s'agit d'un document interne qui ne doit être accessible qu'à vous et aux autorités chargées de la protection des données, au cas où elles en feraient la demande.

Votre politique de confidentialité (avis de confidentialité) est le document qui sert à informer vos utilisateurs de la manière dont vous traitez les données à caractère personnel. C'est le seul document destiné aux personnes concernées qui doit figurer sur votre site web. La LPRP n'a pas besoin d'y figurer.

Comment créer et tenir à jour un registre des activités de traitement?

Il y a quelques étapes à suivre pour créer et tenir à jour un ROPA:

• Réalisez un exercice de cartographie des données pour répertorier toutes les activités de traitement des données de l'entreprise. Cet exercice vous aidera à comprendre comment les données à caractère personnel entrent et sortent de votre entreprise et vous permettra d'effectuer une grande partie du travail nécessaire à l'élaboration d'un RoPA.
• Impliquez toutes les parties prenantes de l'organisation et veillez à ce qu'elles donnent leur avis sur le processus. Le service marketing, les ressources humaines, l'équipe de vente et les comptables traitent tous des données à caractère personnel. Veillez à ce que chaque personne qui entre en contact avec une catégorie de données à caractère personnel traitées dans votre entreprise fournisse des informations.
• Veillez à obtenir des mises à jour de toutes les parties prenantes lorsque les activités de traitement des données de l'organisation changent. Ce sont les mêmes personnes qui modifient vos pratiques et qui doivent vous en informer chaque fois qu'elles le font, car ces changements doivent être reflétés dans les registres des activités de traitement.

Comment maintenir votre RoPA à jour

Le RoPA doit refléter à tout moment les activités actuelles de traitement des données à caractère personnel.

Si votre entreprise commence à collecter des numéros de téléphone à partir du lundi suivant, les registres doivent contenir des informations sur le traitement des numéros de téléphone à partir du lundi suivant.

Si vous avez décidé de supprimer les courriels des abonnés qui ne répondent pas au bout de six mois au lieu d'un an à partir du mercredi suivant, vous devez modifier les périodes de conservation des données. Si vous êtes passé de Mailchimp à Brevo, assurez-vous de faire les mises à jour nécessaires.

La ROPA informe sur ce qui se passe en ce moment même avec vos pratiques de traitement des données. Il doit changer au fur et à mesure que celles-ci évoluent.

C'est pourquoi vous devez vous assurer d'obtenir des informations sur tous les changements dès qu'ils se produisent dans votre organisation. C'est la seule façon de garder vos dossiers à jour et de vous conformer au RGPD.

Modèle de registre des activités de traitement

Vous trouverez sur ce lien les modèles de l'ICO du Royaume-Uni, ainsi que de plus amples détails sur la manière de créer un ROPA.

Là encore, il n'y a pas de format prescrit. N'hésitez pas à adapter le modèle à votre entreprise.