RGPD9 min de lectureMis à jour mars 2026

Cartographie des données et ROPA : savoir quelles données vous détenez

La cartographie des données constitue le fondement de la conformité RGPD. Sans une image claire des données personnelles que vous détenez et où elles résident, protéger ces données et répondre aux demandes des personnes concernées devient significativement plus difficile. Le Registre des activités de traitement (ROPA) fournit la documentation formelle de vos activités de traitement.

Alban Veauté

•

Security Engineer

Alban is a security engineer at Bastion with deep expertise in information security, SOC 2, and ISO 27001. He also specializes in data protection and privacy compliance, including GDPR requirements, and helps companies build robust security programs.

SOC 2ISO 27001GDPRCyber Essentials

Points clés

Point	Résumé
Cartographie des données	Identifier toutes les données personnelles : quoi, où, comment elles circulent, pourquoi vous les avez
ROPA	Registre des activités de traitement, documentation formelle requise par l'article 30
Requis pour 250+ employés	Les entreprises plus petites doivent quand même maintenir un ROPA si le traitement est à haut risque ou non occasionnel
Contenu du ROPA	Finalités, catégories de données, destinataires, transferts, durées de conservation, mesures de sécurité
Fondement de la conformité	Permet les DSAR, la réponse aux violations et la démonstration de la responsabilité

Réponse rapide : La cartographie des données identifie toutes les données personnelles dans votre organisation. Le ROPA (Registre des activités de traitement) documente cela formellement. Requis pour les entreprises de 250+ employés, ou toute entreprise traitant des données à haut risque. Essentiel pour répondre aux demandes des personnes concernées.

Qu'est-ce que la cartographie des données ?

La cartographie des données est le processus d'identification et de documentation de toutes les données personnelles dans votre organisation :

Quelles données :

Catégories de données personnelles
Données de catégories particulières
Niveaux de sensibilité des données

Où résident les données :

Bases de données et systèmes
Services tiers
Localisations physiques
Sauvegardes et archives

Comment circulent les données :

Points de collecte
Transferts internes
Partage externe
Transferts internationaux

Pourquoi les données existent :

Finalités du traitement
Base légale
Justification business

Pourquoi la cartographie des données est importante

Finalité	Bénéfice
Réponse DSAR	Savoir où trouver toutes les données utilisateur
Demandes de suppression	Assurer un effacement complet
Sécurité	Protéger les données là où elles résident
Évaluation des risques	Identifier les traitements à haut risque
Exactitude des politiques	La politique de confidentialité reflète la réalité
Préparation à l'audit	Preuve des efforts de conformité

Processus de cartographie des données

Étape 1 : Inventorier vos systèmes

Listez chaque système qui traite des données personnelles :

Type de système	Exemples
Produit principal	Base de données applicative principale, comptes utilisateurs
Marketing	CRM, plateforme email, analytics
Ventes	Bases de leads, gestion des contrats
Support	Help desk, outils de chat
RH	Dossiers employés, paie
Finance	Facturation, logiciel comptable
Développement	Logs, outils de debugging
Tiers	Outils SaaS, APIs, intégrations

Étape 2 : Identifier les catégories de données

Pour chaque système, documentez les types de données :

Catégorie	Exemples
Identité	Nom, nom d'utilisateur, photo
Contact	Email, téléphone, adresse
Financier	Infos de paiement, historique de transactions
Technique	Adresse IP, ID d'appareil, cookies
Usage	Logs d'activité, préférences
Contenu	Messages, uploads, commentaires
Catégorie particulière	Santé, religion, biométrie

Étape 3 : Cartographier les flux de données

Documentez comment les données circulent :

Sources de collecte :

Formulaires web
Application mobile
Intégrations API
Imports de tiers
Saisie manuelle

Traitement interne :

Base de données principale
Traitement analytics
Systèmes de sauvegarde
Environnements de développement
Accès des employés

Partage externe :

Processeur de paiement
Service email
Fournisseur analytics
Infrastructure cloud
Partenaires business

Points de sortie :

Exports utilisateurs
Réponses API
Rapports
Suppressions de données

Étape 4 : Documenter la base légale

Pour chaque activité de traitement, identifiez la base légale :

Activité de traitement	Base légale
Création de compte	Contrat
Fourniture de service	Contrat
Traitement des paiements	Contrat
Emails marketing	Consentement
Analytics	Intérêts légitimes
Surveillance de sécurité	Intérêts légitimes
Conformité légale	Obligation légale

Registre des activités de traitement (ROPA)

Le ROPA est une exigence formelle du RGPD documentant toutes les activités de traitement.

Qui a besoin d'un ROPA ?

Organisations de 250+ employés : Toujours requis

Organisations de moins de 250 employés : L'exemption est perdue si UNE SEULE des conditions suivantes s'applique (selon l'article 30(5)) :

Condition	Description
(a) Risque pour les droits et libertés	Le traitement est susceptible d'entraîner un risque pour les droits et libertés des personnes concernées
(b) Non occasionnel	Le traitement est régulier ou continu plutôt que ponctuel
(c) Données de catégories particulières	Le traitement inclut des données révélant l'origine raciale/ethnique, les opinions politiques, les croyances religieuses, les données de santé, la biométrie, etc.
(d) Données de condamnations pénales	Le traitement inclut des données personnelles relatives aux condamnations pénales et infractions

Important : Ces conditions sont disjonctives (OU) : en remplir une seule signifie que le ROPA est requis. Vous n'avez pas besoin de remplir toutes les conditions.

Réalité pratique : La plupart des startups ont besoin d'un ROPA parce que leur traitement est régulier (non occasionnel), ce qui seul déclenche l'exigence.

Exigences ROPA pour les responsables de traitement

Champ	Description
Nom du responsable	Nom de votre entreprise et contact
Responsable conjoint	Si applicable, autres responsables
Contact du DPO	Si vous avez un DPO
Finalités du traitement	Pourquoi vous traitez les données
Catégories de personnes concernées	Utilisateurs, employés, etc.
Catégories de données personnelles	Types de données traitées
Catégories de destinataires	Qui reçoit les données
Transferts internationaux	Pays et garanties
Durées de conservation	Combien de temps les données sont conservées
Mesures de sécurité	Techniques et organisationnelles

Template ROPA

Text

1Registre des activités de traitement
2────────────────────────────────────────────────────────
3
4Activité de traitement : Gestion des comptes utilisateurs
5────────────────────────────────────────────
6
7Responsable : [Nom de votre entreprise]
8Contact : privacy@votreentreprise.com
9DPO : [Si applicable]
10
11Finalité :
12Gestion des comptes utilisateurs et fourniture de l'accès aux services
13
14Catégories de personnes concernées :
15- Utilisateurs inscrits
16- Utilisateurs en essai
17
18Catégories de données personnelles :
19- Nom
20- Adresse email
21- Mot de passe (hashé)
22- Préférences de compte
23- Historique d'utilisation
24
25Base légale : Contrat
26
27Destinataires :
28- Interne : Équipe support client, équipe engineering
29- Externe : AWS (hébergement), Auth0 (authentification)
30
31Transferts internationaux :
32- AWS région US-East
33- Garantie : Clauses contractuelles types
34
35Durée de conservation :
36- Comptes actifs : Durée du compte
37- Comptes fermés : 30 jours puis suppression
38- Logs d'audit : 12 mois
39
40Mesures de sécurité :
41- Chiffrement au repos et en transit
42- Contrôles d'accès et MFA
43- Évaluations de sécurité régulières

Outils et techniques de cartographie des données

Approche manuelle (petites équipes)

Outil	Cas d'usage
Tableur	Inventaire de données simple
Diagrammes	Visualisation des flux de données
Questionnaires	Collecter les infos des membres de l'équipe
Audits de systèmes	Inventaire technique

Approche automatisée (équipes en croissance)

Type d'outil	Capacité
Découverte de données	Scanner les systèmes pour les données personnelles
Classification	Catégoriser automatiquement les données
Cartographie des flux	Suivre le mouvement des données
Plateformes de conformité	Gestion ROPA intégrée

Maintenir votre cartographie des données

Revues régulières

Fréquence	Activité
Mensuelle	Vérifier les nouveaux systèmes/outils
Trimestrielle	Réviser les flux de données
Annuelle	Rafraîchissement complet de la cartographie
Au besoin	Après des changements significatifs

Déclencheurs de mise à jour

Nouvelles fonctionnalités produit collectant des données
Nouvelles intégrations tierces
Nouveaux systèmes employés
Fusions ou acquisitions
Expansion géographique
Nouvelles finalités de traitement

Gestion du changement

Changement proposé :

Quelles données seront traitées ?
Pourquoi ce traitement est-il nécessaire ?
Où les données seront-elles stockées/traitées ?
Qui y aura accès ?

Évaluation :

Est-ce une nouvelle activité de traitement ?
Cela change-t-il un traitement existant ?
Une AIPD est-elle requise ?
Mise à jour de la politique de confidentialité nécessaire ?

Mise en œuvre :

Mettre à jour le ROPA
Mettre à jour la politique de confidentialité si nécessaire
Implémenter les mesures de sécurité
Former le personnel concerné
Documenter le changement

Revue :

Vérifier la mise en œuvre
Vérifier l'exactitude de la documentation
Surveiller les problèmes

Défis courants de la cartographie des données

Défi 1 : Shadow IT

Problème : Employés utilisant des outils non autorisés
Solution : Audits réguliers, politiques claires, processus d'approbation facile

Défi 2 : Systèmes legacy

Problème : Vieux systèmes avec données peu claires
Solution : Audit systématique, plan de migration ou documentation

Défi 3 : Données de tiers

Problème : Incertitude sur ce que font les fournisseurs des données
Solution : Réviser les contrats, envoyer des questionnaires, exiger des DPA

Défi 4 : Données non structurées

Problème : Données personnelles dans les emails, documents, etc.
Solution : Politiques de gestion des données, nettoyage régulier

Défi 5 : Rester à jour

Problème : La cartographie devient rapidement obsolète
Solution : Intégrer les mises à jour dans le processus de gestion du changement

Checklist de cartographie des données

Inventaire des systèmes :

Tous les systèmes de production listés
Environnements de développement/test inclus
Services tiers documentés
Outils internes inventoriés
Enregistrements physiques/papier considérés

Catégories de données :

Tous les types de données personnelles identifiés
Données de catégories particulières signalées
Données sensibles mises en évidence
Sources des données documentées

Flux de données :

Points de collecte cartographiés
Traitement interne documenté
Partage externe identifié
Transferts internationaux notés

ROPA :

Toutes les activités de traitement enregistrées
Base légale documentée
Durées de conservation spécifiées
Mesures de sécurité décrites

Comment Bastion peut vous aider

La cartographie des données peut être complexe, particulièrement pour les organisations avec des données réparties sur plusieurs systèmes et fournisseurs. Travailler avec des partenaires expérimentés aide à assurer une couverture complète sans surcharger votre équipe.

Défi	Comment nous aidons
Cartographie initiale	Processus de découverte de données guidé qui identifie systématiquement les données à travers vos systèmes
Création du ROPA	Templates éprouvés et workflows efficaces pour la documentation
Maintenance continue	Processus pour garder votre cartographie à jour à mesure que votre business évolue
Évaluation des tiers	Questionnaires fournisseurs et suivi des flux de données des sous-traitants
Documentation	Registres prêts pour l'audit qui démontrent la responsabilité

Avoir une expertise supplémentaire aide avec le gros du travail de cartographie initiale et s'assure que rien n'est oublié, évitant les lacunes qui surgissent souvent lors des audits ou en répondant aux demandes des personnes concernées.

Vous cherchez de l'aide pour la cartographie des données et la documentation ROPA ? Parlons-en →

← PrécédentPolitiques de confidentialité RGPD : ce que vous devez divulguer Suivant →Délégué à la protection des données : en avez-vous besoin ?

Retour aux guides RGPD

Bastion Platform

AI Compliance

All-in-One Security

Security Engineers

Tackle more frameworks without more effort.

Wall of Trust

Case Studies

By Company Size

By Industry

Blog

Learn Compliance

Developer

Company