Comment documenter les traitements de données RH dans le registre des activités ?
Réponse courte
Le registre des activités de traitement, prévu par l'article 30 du RGPD, est un document obligatoire qui recense l'ensemble des traitements de données personnelles mis en œuvre par le responsable de traitement. Pour les données RH, il doit contenir les finalités, les catégories de personnes concernées (salariés, candidats, anciens salariés), les catégories de données, les destinataires, les durées de conservation, les éventuels transferts hors UE et les mesures de sécurité.
Le registre doit être tenu à jour, consultable à tout moment et présenté à la CNPD en cas de contrôle. Il peut être sous format papier ou électronique. Il constitue l'un des principaux outils de démonstration de la conformité (accountability) et permet à l'employeur d'avoir une vision d'ensemble de ses traitements RH.
Définition
Le registre des activités de traitement est un inventaire structuré de tous les traitements de données personnelles réalisés par une entreprise. Obligatoire dès lors que l'entreprise compte plus de 250 salariés ou réalise des traitements à risque ou portant sur des données sensibles, il constitue en pratique une bonne pratique à généraliser quelle que soit la taille.
Conditions d’exercice
L'article 30 du RGPD impose huit mentions minimales : identité du responsable et du DPO, finalités, catégories de personnes et de données, destinataires, transferts hors UE avec garanties, durées de conservation et description des mesures de sécurité.
| Mention obligatoire | Détail |
|---|---|
| Responsable de traitement | Nom, coordonnées, représentant et DPO |
| Finalités | Objectifs précis de chaque traitement |
| Catégories de personnes | Salariés, candidats, anciens salariés, stagiaires |
| Catégories de données | Identification, paie, évaluation, santé, formation |
| Destinataires | Services internes, sous-traitants, organismes sociaux |
| Transferts hors UE | Pays destinataires et garanties appropriées |
| Durées de conservation | Délais précis ou critères de détermination |
| Mesures de sécurité | Description générale des mesures techniques et organisationnelles |
Modalités pratiques
La tenue du registre commence par un recensement exhaustif des traitements RH, se poursuit par une fiche par traitement validée par le DPO et s'actualise à chaque nouveau traitement ou modification.
| Étape | Détail |
|---|---|
| Cartographie | Recensement de tous les traitements RH existants |
| Entretiens métiers | Collecte des informations auprès des équipes RH |
| Formalisation | Rédaction d'une fiche par traitement |
| Validation | Revue par le DPO et le service juridique |
| Mise à jour | À chaque nouveau traitement ou modification |
| Format | Tableur, base de données ou outil dédié |
| Conservation | Accessibilité permanente à la CNPD |
| Audit interne | Revue périodique de la complétude et de l'exactitude |
Pratiques et recommandations
Structurer le registre par famille de traitements RH (recrutement, paie, évaluation, formation, santé) pour faciliter la consultation et les mises à jour.
Intégrer la mise à jour du registre dans le processus de lancement de tout nouveau projet RH ou informatique, pour garantir son exhaustivité.
Utiliser un outil dédié (registre numérique) plutôt qu'un simple tableur, pour bénéficier d'un historique des modifications et d'une gestion des accès.
Associer systématiquement le DPO à la validation des nouvelles fiches et à la revue annuelle du registre existant.
Communiquer des extraits pertinents du registre à la délégation du personnel et aux salariés pour démontrer la transparence des traitements.
Cadre juridique
Le cadre juridique du registre repose sur le RGPD et les lignes directrices du CEPD.
| Référence | Objet |
|---|---|
| Art. 30 RGPD | Registre des activités de traitement |
| Art. 30.5 RGPD | Exception partielle pour les entreprises de moins de 250 salariés |
| Art. 5.2 RGPD | Principe d'accountability |
| Art. 24 RGPD | Responsabilité du responsable de traitement |
| Loi du 1er août 2018 | Régime général au Luxembourg |
| Modèles CNPD | Exemples de registres proposés par l'autorité |
Note
L'absence ou l'incomplétude du registre est l'une des violations les plus fréquemment constatées lors des contrôles de la CNPD. Une sanction administrative peut atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial.