Le service RH est l'endroit d'une organisation où se concentrent le plus de traitements de données personnelles — et souvent les plus sensibles. L'article 30 du RGPD impose de tenir un registre de ces traitements, et la CNPD le réclame parmi les premières pièces d'un contrôle. Bien tenu, il devient une carte de votre conformité ; bâclé, il révèle tout ce qui manque.
Ce qu'exige l'article 30
L'article 30 du RGPD demande à chaque responsable de traitement — l'employeur, en l'occurrence — de tenir un registre des activités de traitement (en anglais, ROPA — record of processing activities). Ce n'est pas un document de communication : c'est un inventaire interne, actualisé, que l'on doit pouvoir présenter à l'autorité de contrôle sur demande.
Pour chaque traitement, le registre décrit au minimum la finalité, les catégories de personnes et de données concernées, les destinataires, les éventuels transferts hors UE, les durées de conservation prévues et une description générale des mesures de sécurité. Au Luxembourg, l'autorité compétente est la CNPD (Commission nationale pour la protection des données). En cas de violation de données, la notification à l'autorité doit généralement intervenir dans les 72 heures — un délai que l'on ne tient que si l'on sait déjà quels traitements sont concernés et où vivent les données.
Les traitements RH à inscrire
La tentation est d'inscrire « RH » comme un seul traitement. C'est une erreur : un service RH héberge en réalité une série de traitements distincts, avec des finalités et des bases légales différentes. Au minimum, on distingue :
- Recrutement. Candidatures, CV, comptes rendus d'entretien, tests. La question de la durée de conservation des candidatures non retenues est un classique des contrôles.
- Paie. Rémunérations, retenues à la source, déclarations sociales, historique des bulletins. Le traitement le plus régulé, connecté au Bureau RTS de l'ACD et à la CCSS.
- Temps de travail. Pointage, congés, absences, plannings — données de comportement générées en continu.
- Données de santé. Certificats médicaux, aptitude, accidents du travail. Catégorie particulière au sens du RGPD, à isoler et à protéger davantage.
- Évaluation et carrière. Entretiens annuels, objectifs, progression, décisions de promotion. Un traitement à la fois sensible sur le plan humain et exposé au regard du droit du travail.
Chacun mérite sa propre ligne au registre. C'est cette granularité qui permet ensuite d'attribuer la bonne base légale et la bonne durée de conservation, plutôt qu'une règle unique appliquée à tort à tout le service.
La base légale de chaque traitement RH
L'erreur la plus fréquente consiste à cocher « consentement » partout. Dans la relation de travail, le consentement est fragile : le lien de subordination fait douter de son caractère libre. La plupart des traitements RH reposent donc sur d'autres fondements.
- Exécution du contrat. Verser le salaire, gérer les congés, tenir le dossier du personnel découlent directement du contrat de travail. C'est souvent la base la plus solide pour le cœur de la relation.
- Obligation légale. Les déclarations à la CCSS, la retenue à la source opérée pour le Bureau RTS, la conservation de certains documents relèvent d'obligations imposées par la loi.
- Intérêt légitime. Certains traitements de gestion interne peuvent s'y rattacher, à condition de documenter la mise en balance avec les droits des salariés.
- Consentement. À réserver aux cas véritablement optionnels (photo sur l'intranet, avantages facultatifs), où le refus est sans conséquence sur l'emploi.
La base légale n'est pas une case cosmétique : elle conditionne les durées de conservation, les droits que le salarié peut exercer et la légitimité même du traitement. En cas de doute sur un cas précis, validez-le avec votre DPO ou votre conseil.
« Un registre article 30 n'est pas un document que l'on rédige une fois. C'est le reflet vivant de ce que le système fait réellement des données — et il devrait se mettre à jour quand le système change, pas six mois plus tard. »
Équipe produit LuxappsLes colonnes qui piègent
Une fois les traitements listés, ce sont quelques colonnes précises qui font échouer les registres en pratique :
- Rétention. Les documents RH et de paie sont soumis à des durées de conservation légales. Elles varient selon la nature du document ; mieux vaut écrire « durées de conservation légales applicables » et s'appuyer sur son conseil que d'inventer un nombre d'années. Le vrai piège est de laisser cette colonne vide ou de la remplir « indéfini ».
- Destinataires. Il faut nommer qui reçoit les données : administrations (CCSS, ACD), prestataires (paie externalisée, hébergeur), et tout sous-traitant. Un destinataire non déclaré est un manquement classique.
- Sécurité. Une description générale des mesures suffit, mais elle doit être réelle : contrôle d'accès, chiffrement, journalisation. Encore faut-il que ces mesures existent vraiment derrière la phrase.
- Transferts hors UE. C'est la colonne la plus révélatrice. Un outil RH hébergé chez un fournisseur cloud non européen y crée souvent un transfert qu'il faut encadrer. Héberger les données au Luxembourg, sans dépendance hors UE, rend cette colonne simple à remplir : « aucun transfert hors UE ».
Pourquoi un registre tableur échoue à un contrôle CNPD
Le registre naît presque toujours dans un tableur. C'est un bon point de départ, mais un mauvais point d'arrivée. Le problème n'est pas le format : c'est que le tableur se détache de la réalité. Un nouveau champ ajouté dans l'outil RH, un nouveau prestataire, une durée de conservation modifiée — rien de tout cela ne remonte automatiquement dans le fichier. Au bout de quelques mois, le registre décrit un système qui n'existe plus.
Lors d'un contrôle, l'autorité ne compare pas seulement les colonnes : elle confronte le registre à la réalité du système. Un ROPA qui affirme une durée de conservation que l'application n'applique pas, ou qui ignore un destinataire réel, se retourne contre l'organisation — il prouve que le pilotage de la conformité est théorique. C'est là qu'un registre déconnecté devient un risque plutôt qu'une protection.
Tenir le registre à jour par l'automatisation
La seule façon de garder un registre fiable est de le rapprocher du système qui produit les données. Chez Luxapps, la conformité n'est pas un module que l'on active : elle est inscrite dans l'architecture du logiciel RH. Les traitements, les bases légales, les destinataires et les durées de conservation vivent dans la donnée elle-même, ce qui permet de dériver un registre qui reflète l'état réel du système plutôt qu'une photographie périmée.
Trois choix d'architecture y contribuent : l'hébergement au Luxembourg, sans dépendance à un cloud hors UE, qui simplifie la colonne des transferts ; le journal d'audit natif, qui documente les accès et les modifications réellement effectués ; et le contrôle d'accès par rôle et par ressource, qui donne un contenu concret à la colonne « mesures de sécurité ». Sur le volet paie, la même logique s'applique aux obligations de la paie luxembourgeoise — retenue à la source, déclarations CCSS, historique des bulletins — dont les durées de conservation sont portées par la donnée.
Rien de tout cela ne remplace le jugement d'un DPO. Mais un registre qui se met à jour avec le système transforme l'article 30 d'une corvée annuelle en une vue permanente et défendable de vos traitements. C'est aussi ce que nous décrivons dans notre article sur un SIRH pensé pour la conformité luxembourgeoise.
Vous voulez un registre article 30 qui reste vrai ? Découvrez notre approche du logiciel RH conforme au Luxembourg, conçu pour que la conformité se prouve plutôt qu'elle ne se déclare.
Discuter de votre registre RGPD Demander une démonstration →