Un guide pratique de registre des activites de traitement

Ce guide explique registre des activites de traitement de manière pratique, avec un accent sur les décisions d'analytics respectueuses de la vie privée.

Un ROPA est un enregistrement des activités de traitement. En vertu de l'article 30 GDPR, les responsables du traitement et les sous-traitants doivent conserver des enregistrements écrits de certaines activités de traitement de données personnelles et les mettre à la disposition d'une autorité de contrôle sur demande (GDPR article 30).

Traitez-le comme une carte vivante de la façon dont les données personnelles circulent dans votre organisation. Un bon ROPA n'est pas de la paperasse en soi. Il aide les équipes à répondre à des questions pratiques : quelles données collectons-nous, pourquoi, où vont-elles, qui peut y accéder, combien de temps les conservons-nous et quel risque cela crée-t-il ?

Qui a besoin d'un ROPA

L'article 30 prévoit une exemption pour les organisations de moins de 250 employés, mais l'exemption est limitée. Elle ne s'applique pas lorsque le traitement est susceptible d'entraîner un risque pour les personnes, n'est pas occasionnel ou inclut des catégories particulières de données ou des données sur des condamnations pénales.

Dans la pratique, de nombreuses petites organisations ont encore besoin de dossiers car le traitement de routine n’est pas occasionnel. La gestion des clients, les dossiers des employés, les listes de newsletters, les analyses, les tickets d'assistance, le traitement des paiements et les pipelines d'embauche sont tous des activités de traitement récurrentes.

Enregistrements du contrôleur et du processeur

Un responsable du traitement décide des finalités et des moyens du traitement. Par exemple, une entreprise SaaS décidant de collecter des données d'inscription à un essai, d'envoyer des e-mails sur les produits et de mesurer les conversions de sites Web est un contrôleur pour ces activités.

Un sous-traitant agit sur les instructions d'un responsable du traitement. Un fournisseur d'analyses, une plateforme de messagerie ou un fournisseur d'hébergement cloud peut être un sous-traitant des données client, en fonction de la relation et du contrat.

Les responsables du traitement doivent enregistrer les coordonnées, les finalités, les catégories de personnes concernées, les catégories de données personnelles, les catégories de destinataires, les transferts vers des pays tiers, les périodes de conservation lorsque cela est possible et les mesures de sécurité lorsque cela est possible. Les sous-traitants doivent enregistrer les coordonnées de chaque responsable du traitement, les catégories de traitement, les transferts et les mesures de sécurité.

Que faut-il inclure

Pour chaque activité de traitement, saisissez :

• Nom de l'activité : par exemple, analyse de site Web, newsletter, support client, facturation, embauche.
• Finalité : pourquoi le traitement est nécessaire.
• Personnes concernées : visiteurs, clients, salariés, candidats, donateurs, abonnés.
• Catégories de données : données de contact, données de compte, données d'utilisation, métadonnées de paiement, contenu d'assistance.
• Base juridique : contrat, consentement, intérêts légitimes, obligation légale, etc.
• Destinataires et fournisseurs : équipes internes et sous-traitants externes.
• Transferts internationaux : pays, mécanisme de transfert et garanties.
• Rétention : combien de temps les données sont conservées et pourquoi.
• Mesures de sécurité : contrôle d'accès, cryptage, journalisation, sauvegardes, processus de suppression.
• Propriétaire : la personne ou l'équipe chargée de maintenir l'entrée à jour.

Pour l’analyse, soyez précis. N'écrivez pas de « données analytiques ». Indiquez si vous collectez des adresses IP, des cookies IDs, des URLs complets, des référents, des paramètres de campagne, des données d'appareil, des événements de conversion et des IDs d'utilisateurs. Si vous utilisez des analyses sans cookies, documentez ce choix de conception.

Comment en construire un sans rendre les choses douloureuses

Commencez par les systèmes, pas par les départements. Répertoriez les outils qui traitent les données personnelles : CRM, processeur de paiement, fournisseur de messagerie, analyses, base de données de produits, service d'assistance, système HR, hébergement cloud, journalisation des erreurs, relecture de session, plateformes publicitaires et feuilles de calcul.

Ensuite, interrogez les propriétaires. Demandez quelles données entrent dans le système, d’où elles proviennent, qui les utilise, si elles sont partagées et quand elles sont supprimées. Vous trouverez le traitement des ombres dans les exportations, les feuilles de calcul et les anciennes intégrations. Ne le cachez pas. Le ROPA est utile car il révèle la réalité.

Donnez la priorité aux domaines à haut risque en premier : données de catégories spéciales, données sur les enfants, localisation précise, données financières, données de santé, suivi à grande échelle et transferts internationaux.

Comment ROPA aide les équipes produit

Un ROPA rend le béton de confidentialité dès la conception. Avant d’ajouter un nouvel événement analytique ou un nouvel outil marketing, les équipes produit peuvent vérifier si le traitement existe déjà, si la finalité est compatible et si les données sont nécessaires.

Il prend également en charge les droits des personnes concernées. Si quelqu'un demande l'accès ou la suppression, le ROPA vous indique quels systèmes peuvent contenir ses données. Si un fournisseur change de sous-traitant ou de région d'hébergement, le ROPA indique quelles activités de traitement sont affectées.

Rythme d'entretien

Consultez le ROPA chaque fois que vous lancez une nouvelle fonctionnalité, ajoutez un fournisseur, modifiez la rétention, entrez sur un nouveau marché, introduisez le suivi ou traitez une nouvelle catégorie de données. Au minimum, planifiez un examen trimestriel des produits, de l'ingénierie, des aspects juridiques, de la sécurité et des opérations.

Un ROPA périmé peut être pire qu'un ROPA incomplet car il crée une fausse confiance. Gardez les entrées suffisamment courtes pour être conservées, mais suffisamment détaillées pour qu'un régulateur, un auditeur ou un nouvel employé puisse comprendre le traitement.

Pour une analyse axée sur la confidentialité, le ROPA devrait être l'un de vos documents les plus solides. Cela peut montrer que vous avez intentionnellement limité la collecte, évité les identifiants inutiles, maintenu une rétention courte et choisi un modèle de mesure qui respecte les utilisateurs tout en donnant à l'entreprise des informations utiles.

Un exemple d'entrée d'analyse ROPA

Une entrée d'analyse utile pourrait être la suivante : "Mesure de l'audience du site Web pour améliorer les pages publiques et les performances des campagnes". Les personnes concernées sont les visiteurs. Les catégories de données sont la page URL après la suppression des paramètres, le référent, les balises de campagne, la classe d'appareil, le pays, le navigateur et les événements de conversion. Les destinataires sont les équipes internes de marketing et de produit ainsi que le processeur d'analyse. La conservation est de 13 mois pour les rapports agrégés et plus courte pour les événements bruts, si des événements bruts existent.

Ajoutez la base juridique, le comportement de cookie ou de stockage, le mécanisme de transfert et le propriétaire. Notez également les exclusions : pas de profilage publicitaire, pas de IDs utilisateur, pas de stockage complet IP, pas de capture de champ de formulaire et aucune analyse sur les routes sensibles. Ces déclarations négatives sont importantes car elles montrent des limites intentionnelles, et pas seulement des documents manquants.

ROPA Liste de contrôle d'entretien

Rendre l'entrée analytique ROPA spécifique : objectif, base juridique, catégories de visiteurs, champs d'événement, identifiants, cookies ou stockage, destinataires, sous-traitants ultérieurs, emplacement d'hébergement, conservation, transferts et processus de suppression. Évitez les étiquettes vagues telles que « données analytiques ».

Actualisez l'enregistrement chaque fois qu'une balise, un événement, un fournisseur, une règle de consentement, une période de conservation ou une destination de données change. Un ROPA n'est utile que s'il correspond à ce que le navigateur et le backend envoient réellement.