Quelle que soit la taille de votre entreprise, la mise en place d’un registre des activités de traitement est obligatoire. Le registre est un document interne à l’entreprise dont l’objectif est de recenser l’ensemble des traitements de données mis en œuvre au sein de votre entreprise. Il doit refléter la réalité des traitements, afin de vous permettre de documenter et piloter votre conformité au RGPD. Si votre entreprise compte moins de 250 salariés, bonne nouvelle : vous ne devez documenter que les traitements de données non-occasionnels.
En pratique, il s’agira notamment des traitements de données liés aux ressources humaines.
Voici quelques tips de Dune pour construire les fiches du registre relatives aux ressources humaines.
Identifier les activités RH entraînant un traitement de données
Pour cela, rien de plus simple : vous pouvez tout d’abord aller voir la personne (ou l’équipe) en charge des ressources humaines et lui demander les cas d’usage dans lesquels des données personnelles sont collectées et utilisées pour leurs activités quotidiennes.
Pour orienter vos questions, vous pouvez procéder par l’ordre chronologique de la vie d’un salarié : de son recrutement à son départ de la société. Par exemple, comment se passe la collecte des données de candidats (réception de candidatures ou sourcing), à quel(s) moment(s) les données des salariés sont utilisées par le service RH (gestion des rémunérations, entretiens annuels, etc.) et comment elles sont traitées.
Classer les activités de traitement par finalité
Vous pourrez ensuite organiser ces activités par catégories de « finalités » (i.e. les raisons pour lesquelles les données sont utilisées). En matière RH, ces finalités sont notamment les suivantes :
- Recrutement ;
- Gestion administrative du personnel et des carrières ;
- Gestion de la paie et des rémunérations ; ou encore
- Gestion du parc informatique.
Et voilà ! Ce classement va vous permettre de créer une fiche dans votre registre par activité identifiée.
Tips : Si vous souhaitez approfondir, n’hésitez pas à consulter le référentiel de la CNIL sur la gestion des ressources humaines et son guide sur le recrutement. Les principales activités de traitement RH y sont détaillées et peuvent vous orienter.
Créer des fiches dans le registre et les compléter
Une fois ces informations collectées, vous êtes prêts à créer et remplir vos fiches dans votre registre. Vous devrez notamment renseigner :
- le responsable du traitement (votre société), ses coordonnées et, le cas échéant, celles du délégué à la protection des données ;
- le détail des finalités de traitement (par exemple, pour la paie : calcul du salaire, établissement des bulletins de salaire, gestion du prélèvement à la source, déclaration aux organismes sociaux, etc.) ;
- les catégories de données collectées et des personnes concernées ainsi que leurs durées de conservation ;
- les destinataires des données (par exemple : la mutuelle, la banque, les outils informatiques utilisés par les RH pour leurs activités), et, le cas échéant, les transferts de données hors Union Européenne réalisés ;
- les mesures de sécurité appliquées.
Vous pouvez choisir de faire du registre un véritable outil de pilotage de vos traitements et y intégrer des informations complémentaires, telles que la base légale de vos traitements, les sources des données ou encore les modalités d’information des personnes concernées. Compléter le registre de ces informations permet ainsi de déterminer si des actions de mise en conformité sont nécessaires (par exemple, au regard de la durée de conservation des données ou du principe de minimisation des données).
Choisir le support du registre
Si vous ne savez pas quel support utiliser pour votre registre, don’t panic ! Le support est libre, tant que les informations obligatoires du RGPD sont présentes.
Vous pouvez simplement utiliser un fichier Word ou un fichier Excel. Pour vous aider sur la mise en forme, vous pouvez reprendre le modèle de registre au format Excel proposé par la CNIL ou vous inspirer du registre de la CNIL dans le cadre de ses activités, présenté ici.
Enfin, il existe aujourd’hui plusieurs outils sous forme de plateforme SaaS vous permettant de construire votre registre et de regrouper votre documentation d’accountability. Très souvent, ces outils ont des fiches de registres pré-constituées qui permettront de vous orienter.