Que doit contenir le registre des traitements RH au Luxembourg ?
Réponse courte
Le registre des traitements RH doit recenser toutes les opérations de traitement effectuées par le service RH conformément à l'article 30 du RGPD. Pour chaque traitement, il précise : identité du responsable, finalité, catégories de personnes concernées, catégories de données, destinataires, transferts hors UE, durées de conservation et mesures de sécurité.
Ce registre constitue un élément central de l'accountability et doit être présenté à la CNPD en cas de contrôle. Il couvre notamment le recrutement, la paie, la gestion de carrière, la formation, la santé au travail, la vidéoprotection et tout dispositif relevant de l'article L.261-1 du Code du travail.
Définition
Le registre des activités de traitement est un document tenu par le responsable de traitement listant l'ensemble des opérations de traitement de données personnelles effectuées dans l'entreprise. Imposé par l'article 30 du RGPD, il est obligatoire pour toute organisation de 250 salariés ou plus, et également pour les plus petites structures dès lors que les traitements concernent des données sensibles ou présentent un risque pour les droits des personnes, ce qui est systématiquement le cas en matière RH.
Conditions d’exercice
L'article 30 du RGPD impose un registre écrit, mis à jour en continu, exhaustif pour tous les traitements RH et produit immédiatement à la CNPD en cas de contrôle.
| Condition | Détail |
|---|---|
| Format écrit | Document électronique ou papier |
| Mise à jour continue | Actualisation à chaque nouveau traitement |
| Accessibilité CNPD | Production immédiate en cas de contrôle |
| Responsable identifié | Désignation claire du rédacteur et du DPO |
| Cohérence | Alignement avec les notices et les contrats |
| Exhaustivité RH | Tous les traitements RH couverts |
| Mention des transferts | Pays tiers et garanties associées |
Modalités pratiques
L'article 30 RGPD impose une dizaine de rubriques par traitement : identité du responsable, finalité, base légale, catégories de personnes et de données, destinataires, transferts hors UE, durées de conservation et mesures de sécurité.
| Rubrique | Contenu |
|---|---|
| Identité du responsable | Raison sociale, coordonnées, DPO |
| Nom du traitement | Dénomination claire (paie, recrutement, etc.) |
| Finalité | Objectif précis du traitement |
| Base légale | Contrat, obligation légale, intérêt légitime |
| Catégories de personnes | Salariés, candidats, anciens, ayants droit |
| Catégories de données | Identité, paie, santé, carrière, disciplinaire |
| Destinataires | Services internes, sous-traitants, autorités |
| Transferts hors UE | Pays et garanties (clauses types) |
| Durées de conservation | Délais par catégorie de données |
| Mesures de sécurité | Chiffrement, habilitations, sauvegardes |
Pratiques et recommandations
Structurer le registre par domaines RH (recrutement, paie, carrière, santé, sécurité) pour faciliter les mises à jour et les contrôles internes.
Rédiger des fiches de traitement standardisées et exhaustives pour garantir la cohérence entre le registre et les autres documents RGPD (notice, AIPD, contrats).
Actualiser le registre à chaque nouveau logiciel, nouveau prestataire ou nouvelle finalité, et tracer les modifications par un historique versionné.
Relier chaque traitement à un contrat de sous-traitance article 28 du RGPD lorsqu'un prestataire est impliqué, afin de démontrer la chaîne de responsabilité.
Présenter le registre au DPO et à la direction au moins annuellement pour validation, et le rendre accessible à la CNPD en format lisible en cas de contrôle.
Cadre juridique
Plusieurs textes encadrent le registre des traitements.
| Référence | Objet |
|---|---|
| Règlement UE 2016/679 (RGPD) | Protection des données personnelles |
| Art. 30 RGPD | Registre des activités de traitement |
| Art. 5 RGPD | Principes relatifs au traitement |
| Art. 6 RGPD | Bases légales du traitement |
| Art. 28 RGPD | Sous-traitance |
| Art. 32 RGPD | Sécurité du traitement |
| Art. 35 RGPD | Analyse d'impact |
| Art. 44 RGPD | Transferts hors UE |
| Loi du 1er août 2018 | Mise en œuvre du RGPD au Luxembourg |
| Art. L.261-1 Code du travail | Surveillance des salariés |
Note
Un registre incomplet ou obsolète est l'une des non-conformités les plus fréquemment relevées par la CNPD lors des contrôles. Les traitements RH doivent y figurer intégralement, y compris les outils mineurs (formulaires, tableurs RH) souvent oubliés. Le registre du sous-traitant, distinct, doit aussi être réclamé pour vérification.