To Delete Document
InEditMode: ("1" if Yes) IsNewDoc: ("1" if Yes) DspNow: UserCN: (username-CN) HistoryFields: (is used in the code for the history subform) -

-
> 1. Le traitement de données à caractère personnel dans le cadre de la gestion de votre personnel

L’employeur doit-il tenir un registre des activités de traitement ou registre de données pour le traitement de données à caractère personnel ?

Qui doit tenir un registre de données ?

Le RGPD oblige le responsable du traitement (ou son représentant) ainsi que les sous-traitants à conserver une documentation interne concernant les activités de traitement effectuées sous leur responsabilité[1]. Il s’agit du registre des activités de traitement ou registre de données.

Cette obligation remplace l’ancienne obligation de déclaration auprès de l’Autorité de protection des données (ci-après : APD).

Presque toutes les entreprises sont obligées de tenir un registre de données

La tenue d’un registre de données est obligatoire pour toutes les entreprises occupant plus de 250 travailleurs. Les entreprises de plus petite taille sont uniquement obligées de tenir un registre :

  1. si le traitement effectué porte sur certaines catégories particulières de données ou sur des données relatives à des condamnations pénales et à des infractions ; OU
  2. si le traitement effectué est susceptible de comporter un risque pour les droits et libertés des personnes concernées ; OU
  3. si le traitement effectué n’est pas occasionnel.

Cette dernière exception implique que pratiquement tous les employeurs devront tenir un registre de données. Selon l’APD, la gestion du personnel constitue en effet un traitement non occasionnel.

Enfin, l’APD recommande à toutes les entreprises de tenir un registre de données, et ce même si cette obligation ne leur est pas applicable.

Vous trouverez de plus amples informations à ce sujet ainsi qu’un schéma reprenant les situations dans lesquelles la tenue d’un registre est obligatoire sur le site web de l’APD.

Quelles informations doit contenir le registre de données ?

Ce registre donne une vue d’ensemble des activités de traitement effectuées au sein d’une entreprise. Il fait par ailleurs office de document justificatif quant aux traitements de données à caractère personnel détenues par l’entreprise.

Le registre doit se présenter sous une forme écrite (ou électronique) et doit être clair et compréhensible. Il doit comporter les informations suivantes :

  • Qui ? Le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données ;
  • Pourquoi ? Les finalités du traitement ;
  • Quoi ? Une description des catégories de personnes concernées et des catégories de données à caractère personnel ;
  • Où ? Les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées ; le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, éventuellement, les documents attestant de l’existence de garanties appropriées ;
  • Combien de temps ? Dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données ;
  • Comment ? Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles.

Ce registre de données ne contient donc pas que des informations relatives aux traitements effectués dans le cadre de l'administration du personnel - et personnes intermédiaires, aux traitements effectués dans le cadre de la gestion du personnel - et personnes intermédiaires - et aux traitements effectués dans le cadre de l'organisation du travail. Il répertorie en effet également les traitements concernant la gestion clients ou fournisseurs, les données de vidéosurveillance...

Vous pouvez obtenir gratuitement un modèle de registre de données auprès de l’APD.

Sanction en cas d’absence de registre de données

Toute violation de cette obligation peut faire l’objet d’une amende administrative pouvant s’élever jusqu’à 10 000 000 euros ou, dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu[2].

L’autorité de contrôle peut par ailleurs exercer tous les pouvoirs d’enquête dont elle dispose à l’égard du responsable du traitement et du sous-traitant dès lors qu’ils ne respectent pas leur obligation de tenir un registre[3].

 


[1] Article 30 du RGPD. 

[2] Article 83,4 du RGPD.

[3] Article 58 du RGPD.

Secrétariat Social Securex - Legal 04/01/2019