Le registre des activités de traitement est l’un des piliers de la conformité RGPD. Obligatoire pour la quasi-totalité des entreprises, il documente l’ensemble des traitements de données personnelles réalisés. En matière RH, les traitements sont particulièrement nombreux et sensibles.
L’obligation légale
L’article 30 du RGPD impose à chaque responsable de traitement de tenir un registre des activités de traitement effectuées sous sa responsabilité. Ce registre doit être mis à la disposition de la CNIL sur demande.
L’obligation s’applique à toutes les entreprises de 250 salariés et plus. Les entreprises de moins de 250 salariés en sont dispensées uniquement si le traitement est occasionnel, ce qui n’est jamais le cas en matière RH (traitement récurrent de données de paie, etc.).
Le contenu obligatoire du registre
Pour chaque traitement, le registre doit mentionner :
- Le nom et les coordonnées du responsable de traitement (et du DPO le cas échéant)
- Les finalités du traitement (ex. : gestion de la paie, recrutement)
- Les catégories de personnes concernées (salariés, candidats, intérimaires)
- Les catégories de données traitées (identité, coordonnées, données bancaires, données de santé)
- Les destinataires des données (sous-traitants, organismes sociaux, administration)
- Les transferts vers des pays tiers (le cas échéant)
- Les délais de conservation prévus
- Les mesures de sécurité techniques et organisationnelles
Les traitements RH à documenter
- Recrutement : collecte et gestion des candidatures
- Gestion administrative du personnel : contrats, avenants, dossier personnel
- Gestion de la paie : calcul et versement des rémunérations
- Gestion des temps : badgeuse, planning, congés
- Formation professionnelle : plan de développement des compétences
- Évaluation : entretiens annuels, entretiens professionnels
- Médecine du travail : convocations, avis
- Vidéosurveillance et contrôle d’accès
- Géolocalisation des véhicules
- Outils informatiques : messagerie, internet, annuaire
Le modèle CNIL
La CNIL met à disposition un modèle de registre gratuit (format tableur) sur son site cnil.fr. Ce modèle contient les rubriques obligatoires et des exemples de fiches de traitement.
Le cabinet DAIRIA Avocats accompagne les employeurs sur ces problématiques. Notre plateforme DAIRIA IA permet d’automatiser votre veille juridique en droit social.
FAQ — Questions fréquentes
Le registre doit-il être communiqué aux salariés ?
Non. Le registre est un document interne qui doit être mis à la disposition de la CNIL sur demande. Les salariés exercent leur droit d’information par d’autres voies (notice d’information).
Quelle sanction en cas d’absence de registre ?
L’absence de registre constitue un manquement au RGPD sanctionnable par la CNIL : amende jusqu’à 10 millions d’euros ou 2 % du CA mondial (article 83.4.a du RGPD).
Le registre peut-il être dématérialisé ?
Oui. Le RGPD n’impose pas de format particulier. Un tableur, un logiciel de conformité ou un outil dédié sont acceptables.
