---
name: "Modèle de registre des activités de traitement (RoPA) RGPD"
version: "1.0"
updated: "2026-07-14"
source: "https://www.orbiqhq.com/templates/gdpr-ropa-template"
license: "Utilisation libre ; attribution appréciée"
legal_basis:
  - "https://eur-lex.europa.eu/eli/reg/2016/679/oj"
---

# Modèle de registre des activités de traitement (RoPA) RGPD

Le registre obligatoire de l'article 30 du RGPD sous forme exploitable par une
machine : un registre responsable du traitement aligné sur l'article 30(1)(a)–(g)
et un registre sous-traitant aligné sur l'article 30(2)(a)–(d), pensé pour
l'UE-27/l'EEE, avec les champs base légale, catégories particulières et
transferts hors EEE. Un agent IA comme un humain peut construire un registre
complet à partir de ce seul fichier : (1) compléter le bloc d'identité de
l'organisation, (2) inventorier les activités de traitement par finalité,
(3) remplir une ligne responsable du traitement par activité, (4) remplir une
ligne sous-traitant par responsable du traitement servi, (5) maintenir les
lignes en revue et marquer les lignes caduques comme obsolètes plutôt que de
les supprimer.

## 1. Règles de périmètre

- Le registre doit se présenter **par écrit, y compris sous forme électronique**
  (art 30(3)) et être **mis à la disposition de l'autorité de contrôle sur
  demande** (art 30(4)).
- **Dérogation en dessous de 250 salariés (art 30(5)), lue à la lumière de la
  prise de position du G29 d'avril 2018 :** une organisation de moins de 250
  salariés doit tout de même consigner toute activité qui remplit **au moins
  l'un** des critères suivants : (i) susceptible d'engendrer un risque pour les
  personnes concernées, (ii) non occasionnelle (c'est-à-dire relevant du cours
  normal des activités — paie, CRM, support et marketing en relèvent tous),
  (iii) portant sur des catégories particulières au sens de l'art 9 ou des
  données pénales au sens de l'art 10. En pratique, presque toute entreprise en
  activité tient un registre pour ses activités courantes.
- **Évolution en cours (pas encore en vigueur) :** la proposition d'omnibus
  numérique de la Commission de 2025 porterait le seuil de l'art 30(5) à 750
  salariés, sauf pour les traitements à haut risque (avis conjoint 01/2025 du
  Comité européen de la protection des données et du Contrôleur européen de la
  protection des données). En juillet 2026, elle est toujours en procédure
  législative ordinaire — appliquez l'art 30 en vigueur.
- Royaume-Uni : le UK GDPR reprend l'article 30 sans modification (autorité :
  ICO ; critère de transfert : hors du Royaume-Uni). Norvège : le RGPD
  s'applique via la loi sur les données à caractère personnel
  (personopplysningsloven) ; le Datatilsynet attend le même protokoll over
  behandlingsaktiviteter.

## 2. Bloc d'identité de l'organisation (art 30(1)(a) / 30(2)(a))

```yaml
controller:
  name: ""            # dénomination de l'entité juridique
  contact: ""         # adresse, e-mail, téléphone
  joint_controllers: []   # nom + coordonnées, le cas échéant
  representative_art27: "" # le cas échéant
  dpo: ""             # nom + coordonnées, le cas échéant
processor:             # à compléter si vous traitez aussi pour des clients
  name: ""
  contact: ""
  representative: ""
  dpo: ""
record_owner: ""       # rôle chargé de maintenir le registre à jour
last_full_review: ""   # date ISO
```

## 3. Définitions des champs et énumérations

Champs du registre responsable du traitement (une ligne par activité de
traitement) :

| Champ | Ancrage art 30 | Type / énumération |
|---|---|---|
| `ref` | — | chaîne, p. ex. `C-01` |
| `business_function` | — (consignes de structuration de la DPC irlandaise) | chaîne |
| `activity` | — | chaîne, compréhensible sans explication par un relecteur externe |
| `purposes` | 30(1)(b) | chaîne |
| `lawful_basis` | art 6(1) (bonne pratique ; présente dans tous les modèles d'autorités de contrôle) | `consent-6-1-a` \| `contract-6-1-b` \| `legal-obligation-6-1-c` \| `vital-interests-6-1-d` \| `public-task-6-1-e` \| `legitimate-interests-6-1-f` |
| `special_category` | art 9 / art 10 | `no` \| `art9` \| `art10` \| `both` |
| `special_category_condition` | art 9(2)(a)–(j) | chaîne, p. ex. `art9-2-b-employment-law` |
| `data_subjects` | 30(1)(c) | chaîne (catégories) |
| `personal_data` | 30(1)(c) | chaîne (catégories) |
| `recipients` | 30(1)(d) | chaîne (catégories, y compris sous-traitants et destinataires dans des pays tiers) |
| `transfer_outside_eea` | 30(1)(e) | `yes` \| `no` |
| `third_country` | 30(1)(e) | chaîne (pays ou organisation internationale) |
| `transfer_tool` | chapitre V | `adequacy-art45` \| `sccs-art46-2-c` \| `bcrs-art47` \| `other-art46` \| `art49-derogation-documented` \| `not-applicable` |
| `art49_safeguards_ref` | 30(1)(e) | chaîne (lien/référence ; OBLIGATOIRE lorsque `transfer_tool = art49-derogation-documented`) |
| `retention` | 30(1)(f) | chaîne (durée ou critères ; un champ vide se lit comme une lacune) |
| `security_measures` | 30(1)(g) → art 32(1) | chaîne (description générale des TOM) |
| `dpia_status` | art 35 | `not-required` \| `screening` \| `in-progress` \| `completed` |
| `owner` | — | chaîne (rôle) |
| `last_reviewed` | — | date ISO |
| `row_status` | — | `active` \| `under-review` \| `obsolete-retained` |

Champs du registre sous-traitant (une ligne par responsable du traitement pour
lequel vous traitez) :

| Champ | Ancrage art 30 | Type / énumération |
|---|---|---|
| `ref` | — | chaîne, p. ex. `P-01` |
| `controller_name` | 30(2)(a) | chaîne |
| `controller_contact` | 30(2)(a) | chaîne |
| `representative` | 30(2)(a) | chaîne, le cas échéant |
| `processing_categories` | 30(2)(b) | chaîne (au niveau des catégories : hébergement, sauvegarde, accès support, reporting) |
| `subprocessors` | — (cohérence avec la liste de notification art 28(2)) | chaîne (nom + localisation) |
| `transfer_outside_eea` | 30(2)(c) | `yes` \| `no` |
| `third_country` | 30(2)(c) | chaîne |
| `transfer_tool` | chapitre V | même énumération que le registre responsable du traitement |
| `art49_safeguards_ref` | 30(2)(c) | chaîne |
| `security_measures` | 30(2)(d) → art 32(1) | chaîne |
| `dpa_reference` | art 28(3) | chaîne (version du contrat + date de signature) |
| `owner` / `last_reviewed` / `row_status` | — | comme dans le registre responsable du traitement |

Règles de complétude :

- Pour chaque ligne responsable du traitement : `purposes`, `lawful_basis`,
  `data_subjects`, `personal_data`, `recipients` et `retention` doivent être
  renseignés.
- `special_category != no` impose de renseigner `special_category_condition`.
- `transfer_outside_eea = yes` impose de renseigner `third_country` et
  `transfer_tool`.
- `transfer_tool = art49-derogation-documented` impose de renseigner
  `art49_safeguards_ref`.
- Les lignes ne sont jamais supprimées : passez `row_status =
  obsolete-retained` pour que le registre conserve sa propre histoire (pratique
  de la DPC irlandaise).

## 4. Exemples de lignes responsable du traitement

| ref | business_function | activity | purposes | lawful_basis | special_category | data_subjects | personal_data | recipients | transfer_outside_eea | transfer_tool | retention |
|---|---|---|---|---|---|---|---|---|---|---|---|
| C-01 | RH | Administration du personnel et paie | Gestion des contrats de travail ; versement des salaires ; déclarations légales | contract-6-1-b | no | Salariés ; anciens salariés | Données d'identification ; coordonnées bancaires ; données de rémunération | Prestataire de paie ; administration fiscale | no | not-applicable | Durée du contrat de travail + durées légales de conservation |
| C-02 | RH | Gestion des absences et de la santé | Arrêts maladie ; santé au travail ; indemnités journalières légales | legal-obligation-6-1-c | art9 (art9-2-b-employment-law) | Salariés | Dates d'absence ; avis d'aptitude au travail | Service de santé au travail | no | not-applicable | Durée du contrat de travail + durées légales de conservation |
| C-03 | Recrutement | Gestion des candidatures | Évaluation des candidatures ; planification des entretiens | legitimate-interests-6-1-f | no | Candidats à un emploi | Données de CV ; notes d'entretien | Éditeur de l'ATS ; cabinets de recrutement externes | yes (États-Unis) | sccs-art46-2-c | 6 mois après la fin du processus, sauf consentement au vivier de talents |
| C-04 | Ventes et marketing | CRM et gestion de la relation client | Données prospects/clients ; pipeline ; contrats | legitimate-interests-6-1-f | no | Prospects ; contacts clients | Coordonnées professionnelles ; historique des échanges | Éditeur CRM ; prestataire de signature électronique | yes (États-Unis) | sccs-art46-2-c | Durée de la relation + 3 ans |
| C-05 | Ventes et marketing | Newsletter par e-mail | Communications marketing | consent-6-1-a | no | Abonnés | Adresse e-mail ; préférences ; engagement | Prestataire d'e-mailing | no | not-applicable | Jusqu'au retrait du consentement |
| C-06 | Ventes et marketing | Mesure d'audience du site web | Mesure de l'utilisation | consent-6-1-a | no | Visiteurs du site web | Identifiants pseudonymes ; données d'utilisation | Prestataire de mesure d'audience | no | not-applicable | 14 mois |
| C-07 | Opérations clients | Support et gestion des tickets | Traitement des demandes de support | contract-6-1-b | no | Contacts clients ; utilisateurs finaux | Contenu des tickets ; coordonnées | Éditeur de la solution de helpdesk | no | not-applicable | 3 ans après la clôture |
| C-08 | Finance | Facturation et comptabilité clients | Factures ; paiements ; tenue de la comptabilité | legal-obligation-6-1-c | no | Contacts clients ; fournisseurs | Données de facturation ; données de paiement | Prestataire comptable ; banque ; administration fiscale | no | not-applicable | Durée légale de conservation comptable (6 à 10 ans) |
| C-09 | IT et sécurité | Journalisation des accès et supervision | Détection des incidents de sécurité | legitimate-interests-6-1-f | no | Salariés ; utilisateurs des systèmes | Identifiants utilisateurs ; adresses IP ; événements | Éditeur SIEM ; prestataire de réponse à incident | no | not-applicable | 12 mois glissants |
| C-10 | Achats | Gestion des fournisseurs et des sous-traitants ultérieurs | Due diligence ; gestion contractuelle | legitimate-interests-6-1-f | no | Contacts fournisseurs | Coordonnées professionnelles | Plateforme de gestion des fournisseurs | no | not-applicable | Durée de la relation + 3 ans |

## 5. Exemple de ligne sous-traitant

| ref | controller_name | processing_categories | subprocessors | transfer_outside_eea | security_measures | dpa_reference |
|---|---|---|---|---|---|---|
| P-01 | Acme GmbH (client) | Hébergement et exploitation de la plateforme SaaS ; sauvegarde et reprise d'activité ; accès support sur demande | Fournisseur d'infrastructure cloud (région UE) ; acheminement des e-mails (UE) | no | SMSI ISO 27001 ; AES-256 au repos ; TLS 1.2+ ; MFA ; cloisonnement des locataires ; journalisation des accès | DPA v3.2 signé le 2026-01-15 |

---

Formats : XLSX (registre de travail, piloté par listes déroulantes) + PDF (guide
de terrain) sur https://www.orbiqhq.com/templates/gdpr-ropa-template. Ce modèle
est une aide, il ne constitue pas un conseil juridique.
