Registre RGPD Publié le 15 mai 2026 · Lecture : 12 min

ROPA RGPD 2026 : modèle gratuit + 5 outils comparés (article 30 expliqué)

En bref : le ROPA (registre des activités de traitement, RGPD article 30) est obligatoire pour quasiment toutes les entreprises dès qu'elles ont un CRM, une newsletter ou un fichier salariés. Il liste pour chaque traitement : finalité, base légale, catégories de données, destinataires, sous-traitants, durées de conservation, mesures de sécurité. Outil officiel CNIL gratuit (Excel) suffisant pour 95 % des PME. 80 % des PME françaises n'ont pas de ROPA conforme — c'est le motif n°1 de sanction CNIL en 2024. Création : 1 à 2 jours en partant de zéro.

Le ROPA (Records of Processing Activities) — ou en français Registre des Activités de Traitement — c'est le document qui prouve que tu connais tes propres traitements de données personnelles. Imposé par l'article 30 du RGPD, c'est la première chose que la CNIL te demande en cas de contrôle. Pas de ROPA = présomption de non-conformité immédiate.

80% des PME françaises n'ont pas de ROPA conforme. Sur les 234 contrôles CNIL menés en 2024, l'absence ou l'incomplétude du registre a été le motif numéro 1 des sanctions financières (avant même les cookies). Source : Rapport annuel CNIL 2024.

Cet article répond aux questions concrètes :

Qu'est-ce qu'un ROPA exactement ?

Un ROPA est un inventaire structuré de tous les traitements de données personnelles effectués par une organisation. Concrètement, c'est un tableau (Excel, Word, ou outil SaaS) qui liste pour chaque activité : les finalités, les catégories de personnes concernées, les données traitées, les destinataires, les durées de conservation, les bases légales et les mesures de sécurité.

Ce n'est pas un document juridique au sens où il ne doit pas être « rédigé » — c'est un inventaire opérationnel. Une personne pas juriste peut parfaitement le tenir, à condition de comprendre les questions à poser. Et c'est précisément l'objet de cet article : te donner les questions et la structure.

Qui est obligé d'avoir un ROPA ?

L'article 30 du RGPD pose la règle : toute organisation traitant des données personnelles doit tenir un registre. Mais il existe une exception pour les très petites structures, supprimée dans la majorité des cas par 3 critères de retour à l'obligation :

L'exception « moins de 250 salariés » ne s'applique PAS si :

Conclusion pratique : dès que tu as un CRM, un fichier salarié, ou une newsletter — autrement dit quasiment toutes les entreprises modernes, même TPE — le ROPA est obligatoire. La CNIL a confirmé cette interprétation dans son guide officiel.

Distinction importante : si tu es responsable de traitement (tu décides du « pourquoi » et du « comment »), tu tiens un ROPA. Si tu es sous-traitant (tu traites pour le compte de quelqu'un — typiquement un prestataire SaaS), tu tiens un ROPA séparé qui décrit les traitements effectués pour le compte de tes clients (article 30.2). Beaucoup d'agences web sont les deux à la fois.

Les 14 informations obligatoires du ROPA

L'article 30 liste précisément ce qui doit figurer pour chaque activité de traitement. La CNIL accepte un format libre, mais ces 14 champs doivent y être :

1. Nom et coordonnées du responsable de traitement

Raison sociale, SIREN, adresse, email du DPO ou référent RGPD. Pour les groupes : préciser si traitement effectué pour la maison-mère ou une filiale.

2. Coordonnées du DPO (si désigné)

Si tu en as un. Sinon, indiquer la personne responsable du suivi RGPD dans l'entreprise (souvent le dirigeant en PME).

3. Finalités du traitement

Pour quoi tu utilises les données. Exemple : « gestion des commandes en ligne », « envoi de newsletter », « recrutement candidats ». Une finalité par ligne — pas mélanger.

4. Catégories de personnes concernées

Clients, prospects, salariés, candidats, fournisseurs, mineurs, etc. Préciser si des personnes vulnérables (enfants, patients) sont concernées.

5. Catégories de données personnelles

Identité (nom, prénom, date de naissance), contact (email, téléphone, adresse), connexion (IP, logs), bancaires, santé, etc. Mentionner explicitement les données sensibles.

6. Catégories de destinataires

Qui voit les données : services internes (commercial, support, compta), prestataires (hébergeur, paiement, emailing), partenaires, autorités publiques.

7. Transferts vers pays tiers (hors UE)

Si tu utilises un outil USA (Stripe, AWS US, Mailchimp...), précise le pays et la base légale du transfert (clauses contractuelles types, décision d'adéquation, etc.).

8. Délais de conservation des différentes catégories de données

Combien de temps tu gardes chaque donnée. Exemple : prospects 3 ans / clients 10 ans (obligation comptable) / candidats refusés 2 ans (si consentement, sinon 30 jours).

9. Description générale des mesures techniques et organisationnelles de sécurité

Chiffrement, contrôle d'accès, sauvegardes, audit, formation salariés, charte info. Pas besoin de tout détailler, mais montrer que des mesures existent.

10. Base légale (recommandé même si non obligatoire stricto sensu)

Consentement, contrat, obligation légale, intérêt légitime, mission d'intérêt public, sauvegarde des intérêts vitaux. Documenter le choix.

11. Identification du sous-traitant (le cas échéant)

Si tu sous-traites tout ou partie du traitement (ex : envoi emails à Brevo), indiquer son identité + référence du DPA (Data Processing Agreement) signé.

12. Référence à une DPIA (si applicable)

Si une analyse d'impact (DPIA) a été menée pour ce traitement, indiquer sa référence et la date de validation.

13. Date de création et date de mise à jour

Le ROPA doit être daté et mis à jour quand un traitement change. Date initiale + date dernière révision.

14. Statut (actif / suspendu / arrêté)

Tu peux supprimer des traitements arrêtés, mais la CNIL recommande de garder l'historique pour démontrer la traçabilité.

Modèle ROPA gratuit (à copier-coller)

Voici un exemple complet d'une ligne ROPA pour un traitement typique (gestion de newsletter), à dupliquer et adapter :

Champ Exemple à compléter
Nom du traitement Newsletter commerciale mensuelle
Finalité Information commerciale et fidélisation des clients et prospects
Base légale Consentement (article 6.1.a RGPD) — case à cocher non pré-cochée
Catégories de personnes Prospects ayant rempli le formulaire de contact + clients actifs
Catégories de données Email, prénom, historique d'ouverture/clic (par Brevo)
Destinataires internes Service marketing (3 personnes nommées)
Sous-traitants Brevo (DPA signé le 12 janvier 2025) — hébergement Paris
Transferts hors UE Aucun
Durée de conservation 3 ans à compter du dernier clic ou jusqu'à désinscription
Mesures de sécurité Chiffrement TLS, accès Brevo à 2FA, audit annuel des accès
DPIA effectuée ? Non (risque limité)
Date création 12 janvier 2025
Date dernière MAJ 15 mai 2026
Statut Actif

Pour un site web standard, tu auras typiquement entre 6 et 15 traitements distincts à documenter : formulaire de contact, newsletter, gestion clients, gestion candidatures, gestion fournisseurs, comptabilité, vidéosurveillance (si applicable), géolocalisation des véhicules (si applicable), etc.

La CNIL propose aussi un modèle Excel téléchargeable gratuitement sur son site, avec 6 onglets pré-remplis pour les cas types.

Les 5 outils ROPA du marché en 2026

1

Modèle Excel CNIL

Gratuit · Officiel
✓ Pour : officiel, gratuit, conforme par construction, 6 onglets pré-remplis (gestion paye, recrutement, badgeage, vidéosurveillance, gestion clients, prospects), en français, mises à jour régulières.
✗ Contre : pas de collaboration en ligne, pas d'historique des modifications, pas d'alertes de révision automatiques, pas d'intégration avec les autres documents RGPD (DPIA, DPA).
→ Verdict : parfait pour les TPE et PME jusqu'à 50 salariés. 95% des organisations françaises peuvent s'en contenter. À combiner avec un partage SharePoint/Google Drive pour la collaboration.
2

Didomi (Privacy Suite)

À partir de 250€/mois
✓ Pour : français (Paris), interface en français, intégration CRM (Salesforce, HubSpot), workflow d'approbation, alertes de révision automatiques, historisation complète, lien avec module DPIA/DSAR.
✗ Contre : vendu bundlé avec CMP/DSAR (pas dispo seul), tarif PME-ETI, déploiement initial ~2-4 semaines.
→ Verdict : meilleur choix payant pour les PME-ETI françaises ayant besoin d'un cadre structurant avec workflow équipe.
3

OneTrust Records of Processing

À partir de 600€/mois
✓ Pour : leader mondial, ROPA multi-entités (idéal pour les groupes), workflows internes complexes, intégrations natives avec 100+ outils, certification ISO 27701 facilitée.
✗ Contre : très cher, contrat annuel obligatoire, interface en anglais (français partiel), surdimensionné pour les structures sous 250 personnes.
→ Verdict : standard des grands comptes multi-pays. Pas adapté aux PME.
4

DPMS (Data Privacy Management System) Made in France

À partir de 89€/mois
✓ Pour : 100% français, prix accessible PME, interface simple, modèles pré-remplis par secteur (santé, banque, retail), support FR réactif.
✗ Contre : moins de fonctionnalités avancées que les leaders, intégrations limitées, communauté utilisateurs petite.
→ Verdict : alternative française intéressante pour PME-ETI qui veulent quelque chose au-dessus d'Excel sans payer Didomi.
5

Notion / Airtable + template ROPA custom

Gratuit à 20€/mois
✓ Pour : flexibilité maximale, collaboration native, recherche puissante, possibilité de lier ROPA + DPIA + DPA dans une même base de données.
✗ Contre : nécessite de construire son template, pas de modèle officiel CNIL natif, données souvent hébergées hors UE (Notion = USA — à vérifier en option Enterprise EU).
→ Verdict : bon hack pour les startups tech qui veulent intégrer la conformité dans leur stack collaboratif existant. Vérifier la conformité de l'outil lui-même avant d'y stocker des données RGPD sensibles.

Tableau récapitulatif

Outil Prix Cible idéale Origine
Excel CNIL Gratuit TPE / PME < 50 pers 🇫🇷 France (officiel)
DPMS France 89€+/mois PME / ETI françaises 🇫🇷 France
Notion / Airtable 0-20€/mois Startups tech 🇺🇸 USA (option EU)
Didomi 250€+/mois PME / ETI 🇫🇷 France
OneTrust 600€+/mois Grands comptes 🇺🇸 USA

Les 3 erreurs qui font de ton ROPA une pièce à charge

Erreur 1 — Le ROPA fantôme

Le ROPA est rédigé une fois (souvent par un stagiaire ou un consultant externe) puis abandonné. Au contrôle CNIL, il date d'il y a 3 ans, ne reflète plus la réalité, et la CNIL le considère comme une preuve aggravante (« vous saviez qu'il fallait le tenir et vous ne l'avez pas fait »). Pire que pas de ROPA du tout.

Solution : programmer une révision tous les 6 mois minimum. Ajouter une ligne « date dernière MAJ » très visible.

Erreur 2 — La copie Wikipedia

Le ROPA contient des descriptions génériques (« données personnelles », « base légale : RGPD ») au lieu d'éléments concrets et vérifiables. La CNIL le détecte immédiatement et considère que tu n'as pas fait l'effort réel.

Solution : chaque champ doit être précis et vérifiable. Au lieu de « base légale : RGPD », écris « consentement (article 6.1.a) recueilli via formulaire à case non pré-cochée — trace conservée 5 ans ».

Erreur 3 — L'oubli des sous-traitants

80% des ROPA listent les traitements internes mais oublient les services tiers (SaaS, hébergeurs, prestataires). Pourtant, ce sont eux qui posent les plus grands risques (transferts USA, données partagées, DPA non signés).

Solution : pour chaque ligne ROPA, vérifier qui sous-traite quoi. Un DPA doit exister avec chaque sous-traitant identifié — sinon, c'est une infraction immédiate à l'article 28 RGPD.

Avant le ROPA : audite l'existant

Un ROPA partiel = un ROPA inutile. VeriSite scanne ton site et identifie tous les flux de données visibles (cookies, formulaires, trackers, sous-traitants tiers) en 30 secondes. Tu as immédiatement la liste des traitements à documenter dans ton registre.

Lancer un scan gratuit

FAQ : ROPA et registre des activités de traitement

Combien de temps prend la création d'un ROPA en partant de zéro ?

Pour une TPE/PME standard (10-30 salariés, 5-10 traitements) : 1 à 2 journées en suivant la méthode. Pour une ETI avec 50+ traitements et des données sensibles : 1-2 semaines. Le plus long n'est pas la rédaction mais le recensement des outils utilisés (souvent oubliés : extensions Chrome installées par les commerciaux, Trello partagé pour les leads, Google Sheets RH, etc.).

Faut-il publier le ROPA ?

Non — le ROPA est un document interne. Tu dois pouvoir le présenter à la CNIL en cas de contrôle, mais aussi à toute personne qui exerce ses droits (demande d'accès DSAR). Certaines grandes entreprises (Doctolib, La Poste) publient des versions résumées — bonne pratique de transparence, non obligatoire.

Un ROPA peut-il être un simple fichier Excel ?

Oui, totalement. La CNIL accepte tout format à condition que les 14 informations soient présentes et que le document soit accessible (pas une feuille perdue dans une boîte mail). En 2024, 73% des PME contrôlées utilisaient Excel ou Word — c'est validé par la CNIL.

Qui doit tenir le ROPA dans une PME ?

Légalement : le responsable de traitement (= le dirigeant ou la personne morale). En pratique : le DPO s'il existe, sinon un référent RGPD désigné (parfois un assistant RH, un chef de projet conformité, ou le DSI). Recommandé d'avoir une personne nommée et formée qui maintient le document.

Que se passe-t-il si la CNIL demande mon ROPA et que je ne l'ai pas ?

Sanction immédiate possible jusqu'à 10 millions d'euros ou 2% du CA mondial (article 83.4 RGPD). En pratique pour une PME : mise en demeure publique de produire le ROPA sous 1-3 mois + amende administrative entre 5 000€ et 50 000€ selon la gravité. La CNIL est plus indulgente si tu reconnais immédiatement le manquement et démarres la création.

Le ROPA est-il différent du registre des sous-traitants ?

Oui, ce sont deux documents distincts mais complémentaires. Le ROPA décrit tes propres traitements (en tant que responsable). Le registre des sous-traitants (article 28.3) liste les contrats DPA signés avec tes prestataires. En pratique, beaucoup d'organisations les fusionnent dans un même Excel à 2 onglets.

Quel est le meilleur outil ROPA pour une équipe non-juriste ?

Sans hésitation : le modèle Excel CNIL. Il est conçu pour être utilisé par des non-spécialistes, avec des exemples remplis pour les 6 traitements les plus fréquents en entreprise. C'est ce qu'utilisent 80% des DPO français pour démarrer un dossier. Gratuit, en français, à jour, validé par l'autorité.

📚 Articles liés