Quelle documentation le service RH doit-il conserver pour prouver sa conformité au RGPD au Luxembourg ?
Réponse courte
Le service RH doit conserver une documentation RGPD complète pour démontrer sa conformité au titre de l'accountability (article 5.2 du RGPD). Les documents essentiels sont le registre des traitements (art. 30), les notices d'information (art. 13 et 14), les contrats de sous-traitance (art. 28), les analyses d'impact (art. 35) et les procédures de gestion des droits des salariés.
S'y ajoutent les preuves de formation des équipes, les registres de violations, les politiques internes et les traces d'information de la délégation du personnel lorsqu'un dispositif relève de l'article L.261-1 du Code du travail. Cette documentation doit être accessible à la CNPD en cas de contrôle.
Définition
La documentation RGPD d'un service RH est l'ensemble des documents permettant au responsable de traitement de démontrer le respect des obligations du Règlement UE 2016/679. Elle n'est pas limitativement définie par le texte mais découle du principe d'accountability. Au Luxembourg, elle doit être complétée par les éléments propres au droit du travail, notamment les preuves de consultation de la délégation du personnel pour les dispositifs de surveillance.
Conditions d’exercice
La documentation RGPD doit couvrir tous les traitements RH, rester actualisée à chaque évolution, demeurer accessible en cas de contrôle CNPD et assurer la cohérence entre registre, notice et pratique réelle.
| Condition | Détail |
|---|---|
| Exhaustivité | Couverture de tous les traitements RH |
| Actualité | Mise à jour à chaque évolution significative |
| Accessibilité | Production rapide en cas de contrôle CNPD |
| Traçabilité | Versions successives conservées |
| Confidentialité | Accès limité aux personnes habilitées |
| Cohérence | Alignement entre registre, notice et pratique |
| Conservation | Durée suffisante pour couvrir les prescriptions |
Modalités pratiques
Le socle documentaire comprend le registre (art. 30), les notices (art. 13-14), les contrats de sous-traitance (art. 28), les AIPD (art. 35), le registre des violations et les preuves de consultation de la délégation.
| Document | Rôle |
|---|---|
| Registre des traitements | Inventaire des traitements RH (art. 30) |
| Notices d'information | Information des salariés et candidats (art. 13 et 14) |
| Contrats sous-traitants | Clauses conformes à l'art. 28 RGPD |
| Analyses d'impact | Évaluation des traitements à risque (art. 35) |
| Procédures droits | Gestion des demandes d'accès, rectification, effacement |
| Registre des violations | Incidents recensés même non notifiés |
| Preuves de formation | Attestations et feuilles d'émargement |
| Politiques internes | Charte informatique, politique de mot de passe |
| Avis délégation | Traces de consultation pour dispositifs L.261-1 |
Pratiques et recommandations
Centraliser la documentation RGPD dans un espace unique et versionné, accessible au DPO et aux personnes habilitées, pour faciliter les mises à jour et les audits.
Associer à chaque traitement un dossier complet contenant la fiche de registre, la notice, l'AIPD éventuelle et les contrats de sous-traitance, afin de garantir la cohérence documentaire.
Tenir un registre des violations même pour les incidents non notifiés à la CNPD : l'absence de ce registre est systématiquement relevée lors des contrôles.
Conserver les preuves d'information de la délégation du personnel pour tous les dispositifs relevant de l'article L.261-1, qui constituent un point de vigilance spécifique au Luxembourg.
Auditer annuellement la documentation pour en vérifier l'exhaustivité et la cohérence avec les pratiques réelles, et corriger les écarts détectés.
Cadre juridique
Plusieurs articles imposent ou justifient la constitution de cette documentation.
| Référence | Objet |
|---|---|
| Règlement UE 2016/679 (RGPD) | Protection des données personnelles |
| Art. 5.2 RGPD | Principe d'accountability |
| Art. 13 et 14 RGPD | Information des personnes concernées |
| Art. 24 RGPD | Responsabilité du responsable de traitement |
| Art. 28 RGPD | Contrats de sous-traitance |
| Art. 30 RGPD | Registre des activités de traitement |
| Art. 32 RGPD | Sécurité du traitement |
| Art. 33 et 34 RGPD | Notification des violations |
| Art. 35 RGPD | Analyses d'impact |
| Loi du 1er août 2018 | Mise en œuvre du RGPD au Luxembourg |
| Art. L.261-1 Code du travail | Surveillance des salariés |
Note
Une documentation partielle est souvent plus dommageable qu'une absence de documentation car elle révèle une conformité superficielle. La CNPD apprécie la cohérence entre les documents et les pratiques réelles observées lors des contrôles. Les preuves doivent être horodatées et opposables.