Les opérations de contrôle doivent-elles être inscrites dans le registre des traitements RGPD au Luxembourg ?

Réponse courte

Toute opération de contrôle impliquant un traitement de données personnelles doit être inscrite au registre des traitements prévu par l'article 30 du RGPD applicable en entreprise : audit, contrôle d'accès, vidéosurveillance, surveillance informatique, géolocalisation. L'exemption pour les entreprises de moins de 250 salariés ne s'applique pas, car les contrôles ne sont jamais occasionnels et présentent un risque pour les droits des salariés.

Chaque opération doit faire l'objet d'une fiche dédiée précisant la finalité, les données, les personnes concernées, les destinataires, la durée, les mesures de sécurité et la base légale (article 6 RGPD). Pour les traitements à risque élevé, le registre se complète d'une analyse d'impact ; l'absence d'inscription expose l'employeur à des sanctions administratives jusqu'à 2 % du chiffre d'affaires mondial (article 83(4) RGPD).

Définition

Le registre des traitements est un document interne obligatoire prévu par l'article 30 du RGPD : il recense l'ensemble des traitements de données personnelles réalisés dans l'entreprise et matérialise le principe d'accountability.

Les opérations de contrôle désignent toute action de vérification, audit, surveillance ou inspection impliquant la collecte ou l'analyse de données personnelles : badgeage, vidéosurveillance, journalisation, géolocalisation, biométrie. Elles constituent un traitement systématique et entrent dans le périmètre du registre.

Questions fréquentes

Combien de temps faut-il pour mettre à jour le registre des traitements ?

Le registre doit être actualisé à chaque modification du traitement et présentable immédiatement à la CNPD en cas de contrôle. Une fiche par opération distincte de contrôle est exigée pour respecter l'accountability.

L'exemption pour les entreprises de moins de 250 salariés s'applique-t-elle aux contrôles ?

Non, l'exemption ne s'applique pas. Les opérations de contrôle ne sont jamais occasionnelles au sens de l'article 30(5) du RGPD : elles sont systématiques par nature et présentent un risque pour les droits des salariés.

Le registre des traitements doit-il être communiqué à la délégation du personnel ?

L'accès du registre doit être garanti à la CNPD et à la délégation du personnel en cas de demande. Le DPO supervise la complétude et la cohérence des fiches avec l'AIPD pour les traitements à risque élevé.

Les opérations de contrôle doivent-elles figurer au registre des traitements RGPD ?

Oui, toute opération de contrôle impliquant un traitement de données personnelles doit être inscrite au registre des traitements (article 30 RGPD) : audit, vidéosurveillance, contrôle d'accès, surveillance informatique, géolocalisation, biométrie.

Quelle sanction en cas d'omission au registre des traitements ?

L'omission expose l'employeur à une amende administrative jusqu'à 2 % du chiffre d'affaires mondial (article 83(4) RGPD). La défense en cas de contentieux est compromise par l'absence de documentation.

Quelles informations doit contenir une fiche du registre pour un dispositif de contrôle ?

Chaque fiche doit préciser la finalité, la base légale (article 6 RGPD), les catégories de données et personnes, les destinataires, la durée de conservation, les mesures de sécurité (article 32) et le lien avec l'AIPD éventuelle.

Conditions d’exercice

Les opérations de contrôle ne sont jamais occasionnelles au sens de l'article 30(5) du RGPD : elles sont systématiques par nature et présentent un risque pour les droits des salariés, ce qui exclut toute exemption.

Condition	Exigence
Inscription obligatoire	Article 30 RGPD, pour tout traitement systématique
Pas d'exemption	Le seuil des 250 salariés ne s'applique pas aux contrôles
Fiche dédiée	Une fiche par opération distincte de contrôle
Mise à jour	Actualisation à chaque modification du traitement
Accessibilité	Présentable immédiatement à la CNPD en cas de contrôle
Articulation AIPD	Lien avec l'analyse d'impact si risque élevé

Modalités pratiques

Chaque fiche du registre doit comporter les sept rubriques de l'article 30 RGPD, complétées par la documentation de la base légale et, le cas échéant, par le résumé de l'AIPD réalisée.

Démarche	Précision
Identification	Nom, finalité, base légale (article 6 RGPD)
Catégories de données	Personnelles, sensibles (article 9), pseudonymisées
Personnes concernées	Salariés, candidats, sous-traitants, visiteurs
Destinataires	Internes, sous-traitants, autorités, transferts hors UE
Durées de conservation	Justifiées par finalité, documentées
Mesures de sécurité	Article 32 RGPD : chiffrement, contrôle d'accès, traçabilité
Lien AIPD	Référence à l'analyse d'impact si risque élevé

Pratiques et recommandations

Réaliser un inventaire exhaustif des opérations de contrôle en collaboration avec le DPO.

Distinguer chaque opération de contrôle dans une fiche dédiée du registre.

Mettre à jour le registre à chaque évolution des dispositifs ou des outils utilisés.

Articuler systématiquement le registre avec l'AIPD pour les traitements à risque élevé.

Garantir l'accès du registre à la CNPD et à la délégation du personnel en cas de demande.

Cadre juridique

Référence	Objet
Art. L.261-1 du Code du travail	Traitement de données pour surveillance des salariés
Art. L.414-9 du Code du travail	Consultation/co-décision de la délégation du personnel
Loi modifiée du 1er août 2018	Protection des données à caractère personnel
Règlement (UE) 2016/679 (RGPD)	Articles 4, 30, 32, 35, 83(4)
Lignes directrices CNPD	Documentation et registre des traitements

Note

L'omission d'inscrire les opérations de contrôle au registre constitue un manquement à l'accountability et expose l'employeur à des amendes jusqu'à 2 % du chiffre d'affaires mondial. La défense en cas de contentieux est compromise par l'absence de documentation.