L'essentiel

Les entreprises comptant 250 salariés ou plus doivent consigner l'ensemble de leurs traitements de données dans un registre des traitements de données. Les entreprises de plus petites tailles ne doivent y lister que les traitements les plus sensibles.

Cette obligation s'intègre dans le système d'autocontrôle du RGPD qui favorise une logique de responsabilisation des entreprises.

Quels systèmes de traitement l'employeur doit-il intégrer au registre des activités de traitement ?

L'employeur a l'obligation de tenir un registre :

  • dans les entreprises comptant 250 salariés ou plus : listant l'intégralité de ses activités de traitement automatisé de données personnelles
  • dans les entreprises de plus petite taille : listant les traitements de données susceptibles de comporter un risque pour les droits et les libertés des personnes concernées, non occasionnels ou portant sur certaines données sensibles .
Exemple
En pratique, en matière de ressources humaines, les traitements de données qui doivent nécessairement figurer dans le registre sont :
  • les systèmes de gestion de la paie
  • les fichiers de recrutement ou de gestion du personnel
  • les messageries électroniques professionnelles
  • les dispositifs d'évaluation et de contrôle de l'activité des salariés (tels que les dispositifs d'enregistrement ou d'écoute des conversations téléphoniques des conseillers en clientèle par exemple).
  • Le registre des traitements de données doit-il être envoyé à la Cnil ?

    Non, le registre doit simplement être mis à disposition de la Cnil lorsqu'elle le demande.

    Si le siège social de l'entreprise ou la maison mère du groupe est situé dans un autre État membre de l'Union européenne, le registre doit être mis à la disposition de l'autorité de contrôle de cet État (l'équivalent de la Cnil).

    Comment l'employeur doit-il élaborer le registre ?

    Le registre peut se présenter sous forme écrite ou électronique. Il doit comporter les informations suivantes :

    • le nom et les coordonnées de l'employeur, s'il existe du responsable conjoint du traitement de données, du représentant de l'employeur et du délégué à la protection des données s'il a été désigné (voir )
    • les finalités du traitement (ex : gestion des candidatures (CV et lettre de motivation), gestion des demandes de formation et des périodes de formation effectuées, etc.)
    • une description des catégories de personnes et de données à caractère personnel concernées, ainsi que des catégories de destinataires des données, y compris les destinataires dans des pays tiers
    • si c'est le cas, les transferts de données vers un autre pays
    • dans la mesure du possible, les délais prévus pour l'effacement des différentes catégories de données et une description générale des mesures de sécurité techniques et organisationnelles mises en place.
    Remarque
    Le délégué à la protection des données peut aider l'employeur à créer et tenir ce registre à jour. Pour autant, l'employeur reste seul responsable de son existence et de sa conformité.
    Des outils pour aller plus loin
    Pour afficher ce contenu :
    créez votre compte gratuitement !
    Pour afficher ce contenu :
    créez votre compte gratuitement !