RGPD et RH : le registre des traitements de la CNIL
Mis à jour le 28/11/2024
Une partie du registre "RGPD" porte ainsi sur les ressources humaines et les activités en lien ("Activités 6",pages 66-88).
> Pour consulter directement le registre sur le site de la Cnil
Applicable à toutes les entreprises présentes au sein de l’Union Européenne depuis le 25 mai 2018, le RGPD encadre la mise en oeuvre des traitements de données à caractère personnel. Dossiers du personnel, bulletins de paie, CV, déclarations sociales... Le RGPD concerne également les services RH dans la gestion du recrutement, de la paie, des carrières et de manière générale des salariés de leurs entreprises. Le règlement a été transposé en droit français par l'ordonnance n°2018-1125 du 12 décembre 2018. La Cnil assure, en la matière, un rôle de veille, de contrôle et de régulation.
Le registre RGPD, en bref
Le registre RGPD ou "des activités de traitement" permet de documenter l'ensemble des traitements de données personnelles effectués au sein d'une entreprise. Le contenu du registre est fixé par l'article 30 du RGPD. Le registre RGPD se présente nécessairement sous forme écrite, en version papier et/ou électronique.
L'élaboration et la mise à jour du registre est obligatoire pour les organismes, publics comme privés et quelle que soit leur taille, dès lors qu’ils traitent des données personnelles. Les organisations de moins de 250 salariés bénéficient d'une dérogation pour certains traitements.
> Pour retrouver la liste des traitements RH concernés par le RGPD, cliquez ici.
Registre RGPD : quel rôle pour les (D)RH ?
Le registre RGPD doit être tenu par les responsables de traitement ou les sous-traitants eux-mêmes ou une personne tierce, en interne ou à l'externe, spécifiquement en charge si elle a été désignée délégué à la protection des données (DPD ou "data protection officer" - DPO).
En tant que DRH, vous pouvez ainsi être responsable de la partie du registre qui concerne les traitements des données personnelles de vos salariés et/ou participer avec le DPO à l'élaboration de cette dernière.
Le contenu du registre RGPD
Outre, la liste exhaustive des traitements de données personnelles, le registre RGPD doit contenir pour chaque traitement (cf. art. 30 du RGDP) :
- la désignation de l’activité de traitement
- l’identification du responsable de traitement (la CNIL), ses coordonnées et celles de son délégué à la protection des données (DPD/DPO)
- les finalités (objectifs du traitement de données)
- les catégories de personnes concernées (acteurs internes ou externes, professionnels ou particuliers)
- les catégories de données traitées (comme l’identité, les coordonnées, les informations de connexion ou les données sensibles)
- les catégories de destinataires des données (services de la CNIL, tiers)
- l’existence de transferts de données en dehors de l’Union européenne
- dans la mesure du possible, la durée de conservation des données
- une description générale des mesures de sécurité prises
A noter que le registre publié par la Cnil comprend des informations complémentaires qui ne sont pas obligatoires.
> Pour télécharger le modèle de registre RGPD sur le site de la Cnil
Concernant l'activités ressources humaines, 11 types de traitements sont recensés au sein de la Cnil, que l'on retrouve sous fiches distinctes.
> Pour consulter directement le registre sur le site de la Cnil
Pour aller plus loin