Les registres des opérations de traitement (Records of Processing Operations, RoPO) vous permettent, en tant que service responsable, de faire l'inventaire du traitement des données et d'avoir une vue d'ensemble de ce que vous faites avec les données personnelles concernées.

L'obligation d'enregistrement est énoncée à l'article 46 de la Circulaire Opérationnelle n° 11 (CO 11), qui stipule que chaque service responsable du traitement doit établir un ou plusieurs RoPOs relatifs aux données à caractère personnel qu'il traite.

Il n'est donc pas nécessaire que les services de traitement établissent des RoPOs pour les traitements de données à caractère personnel qu'ils effectuent pour le compte d'un service responsable, car ces opérations doivent être documentées par le service responsable.

Le RoPO est un document à vocation d'inventaire et d'analyse, qui doit refléter la réalité du traitement de vos données personnelles et vous permettre d'identifier précisément, entre autres :

• le(s) type(s) de données personnelles traitées ;

• la finalité de leur collecte ;

• la période pendant laquelle elles seront conservées ;

• le cas échéant, les détails concernant l'utilisation du profilage et des outils de prise de décision automatisée ; et

• le cas échéant, les détails concernant les transferts de données personnelles.

Le RoPO n'est pas seulement une obligation légale mais aussi un outil de contrôle interne et un moyen de démontrer votre conformité à la CO 11. Elle vous permet de documenter vos traitements de données et de savoir quelles questions vous devez vous poser avant et pendant le traitement des données : ai-je vraiment besoin d'une certaine donnée pour ce traitement spécifique ? Est-il pertinent de conserver toutes ces données pendant si longtemps ? Les données sont-elles suffisamment protégées ? La création et la mise à jour du dossier sont des occasions d'identifier et de hiérarchiser les risques du traitement à la lumière de la CO 11. Ces considérations vous permettront d'élaborer un plan d'action de vos traitements en conformité avec les règles de protection des données.

Le RoPO joue un rôle central parmi les obligations des services responsables et constitue la base pour :

• la génération d'avis de confidentialité pour vos activités de traitement,
• la réalisation d'analyses d'impact sur la confidentialité des données (DPIA), et
• l'application de l'approche Protection des données dès la conception et par défaut.