Guides, outils & bonnes pratiques RH

RGPD & RH : le registre des traitements de la CNIL

RGPD & RH : le registre des traitements de la CNIL

La Cnil a publié, le 2 décembre 2019, son propre registre des activités de traitement sur son site Internet. Diffusé au public dans un "souci de transparence et de pédagogie", le document recense l'ensemble des traitements de données personnelles effectués au sein de la commission aussi bien en tant qu'autorité administrative qu'en tant qu'employeur. Une partie du registre "RGPD" porte ainsi sur les ressources humaines et les activités en lien ("Activités 6",pages 66-88). 

Lien.png> Pour consulter directement le registre sur le site de la Cnil

Applicable à toutes les entreprises présentes au sein de l’Union Européenne depuis le 25 mai 2018, le RGPD encadre la mise en oeuvre des traitements de données à caractère personnel. Dossiers du personnel, bulletins de paie, CV, déclarations sociales... Le RGPD concerne également les services RH dans la gestion du recrutement, de la paie, des carrières et de manière générale des salariés de leurs entreprises. Le règlement a été transposé en droit français par l'ordonnance n°2018-1125 du 12 décembre 2018. La Cnil assure, en la matière, un rôle de veille, de contrôle et de régulation. 

Le registre RGPD, en bref

Le registre RGPD ou "des activités de traitement" permet de documenter l'ensemble des traitements de données personnelles effectués au sein d'une entreprise. Le contenu du registre est fixé par l'article 30 du RGPD. Le registre RGPD se présente nécessairement sous forme écrite, en version papier et/ou électronique. 

L'élaboration et la mise à jour du registre est obligatoire pour les organismes, publics comme privés et quelle que soit leur taille, dès lors qu’ils traitent des données personnelles. Les organisations de moins de 250 salariés bénéficient d'une dérogation pour certains traitements. 

Lien.png> Pour retrouver la liste des traitements RH concernés par le RGPD, cliquez ici.

Registre RGPD : quel rôle pour les (D)RH ?

Le registre RGPD doit être tenu par les responsables de traitement ou les sous-traitants eux-mêmes ou une personne tierce, en interne ou à l'externe, spécifiquement en charge si elle a été désignée délégué à la protection des données (DPD ou "data protection officer" - DPO).

En tant que DRH, vous pouvez ainsi être responsable de la partie du registre qui concerne les traitements des données personnelles de vos salariés et/ou participer avec le DPO à l'élaboration de cette dernière.

Le contenu du registre RGPD

Généralités


Outre, la liste exhaustive des traitements de données personnelles, le registre RGPD doit contenir pour chaque traitement (cf. art. 30 du RGDP) :

  • "la désignation de l’activité de traitement ;
  • l’identification du responsable de traitement (la CNIL), ses coordonnées et celles de son délégué à la protection des données (DPD/DPO) ;
  • les finalités (objectifs du traitement de données) ;
  • les catégories de personnes concernées (acteurs internes ou externes, professionnels ou particuliers) ;
  • les catégories de données traitées (comme l’identité, les coordonnées, les informations de connexion ou les données sensibles) ;
  • les catégories de destinataires des données (services de la CNIL, tiers) ;
  • l’existence de transferts de données en dehors de l’Union européenne ;
  • dans la mesure du possible, la durée de conservation des données ;
  • une description générale des mesures de sécurité prises".

A noter que le registre publié par la Cnil comprend des informations complémentaires qui ne sont pas obligatoires.

Document.png> Pour télécharger le modèle de registre RGPD sur le site de la Cnil

Focus sur les traitements RH dans le registre RGPD de la Cnil

Concernant l'activités "ressources humaines", 11 types de traitements sont recensés au sein de la Cnil, que l'on retrouve sous fiches distinctes.


Lien.png> Pour consulter directement le registre sur le site de la Cnil

Pour aller plus loin

Partager cette publication :

Articles similaires :