fr flag
fr flag

Le registre des traitements RH

Description de l'article de blog :

Radhiyaa Haujee

8/22/20253 min temps de lecture

Depuis l’entrée en vigueur du RGPD, une obligation s’impose à toutes les entreprises, quelle que soit leur taille : tenir un registre des traitements de données personnelles.
Et lorsqu’il s’agit des ressources humaines, cette exigence est encore plus stratégique.

Pourquoi ? Parce que les services RH traitent chaque jour des données sensibles : paie, santé, recrutement, absences, évaluations…
Et pourtant, le registre RH reste l’un des grands oubliés du RGPD dans les TPE/PME.

Alors à quoi sert ce document ? Que doit-il contenir ? Et comment le mettre en place sans complexité ? Voici un guide clair pour comprendre l’essentiel.

1. Le registre des traitements, c’est quoi exactement ?

C’est un document obligatoire pour toute organisation qui collecte ou traite des données personnelles, y compris les TPE, associations, écoles, cabinets libéraux, etc.

Il recense tous les “traitements” de données réalisés dans l’entreprise.
Un “traitement”, c’est toute opération sur des données personnelles : collecter, enregistrer, stocker, modifier, transmettre, supprimer...

Exemples côté RH :

  • Gérer les bulletins de paie

  • Conserver des CV

  • Suivre les absences et congés

  • Réaliser des entretiens annuels

  • Tenir un planning

2. Est-ce vraiment obligatoire pour une petite structure ?

Oui.
Contrairement à une idée reçue, le RGPD s’applique aussi aux petites structures.
La CNIL peut vous demander votre registre à tout moment, notamment en cas de :

  • contrôle

  • plainte d’un salarié

  • incident de sécurité

L’absence de registre est un manquement au RGPD. Même un registre “simplifié” vaut mieux que rien.

3. Que doit contenir un registre RH ?

Le registre doit recenser chaque traitement de données personnelles effectué dans le cadre des ressources humaines, avec des informations précises et structurées. Pour chaque traitement, il faut indiquer :

  • La finalité du traitement : c’est-à-dire à quoi sert concrètement cette opération. Par exemple : gérer la paie, recruter de nouveaux salariés, suivre les absences, organiser des formations ou gérer les entretiens professionnels.

  • Les types de données concernées : cela peut inclure des données d’identification (nom, prénom, adresse), des données administratives (numéro de sécurité sociale, contrats, bulletins de paie), des données de formation, de santé (arrêts maladie, accidents du travail) ou encore des éléments liés à la carrière (évaluations, primes, sanctions).

  • Les personnes concernées : il s’agit ici de préciser qui est visé par le traitement : salariés, candidats à un emploi, stagiaires, alternants, anciens employés…

  • Les destinataires des données : autrement dit, qui a accès à ces données ou avec qui elles sont partagées. Cela peut être un cabinet d’expertise comptable, un prestataire de gestion de paie, les managers ou le service RH en interne.

  • La durée de conservation des données : chaque catégorie de données doit être conservée pendant une durée justifiée. Par exemple, un CV de candidat non retenu doit être supprimé après 2 ans, les bulletins de paie doivent être gardés 5 ans, et les justificatifs d’absence 5 ans également.

  • Les mesures de sécurité mises en place : le registre doit décrire les protections techniques et organisationnelles existantes. Cela inclut par exemple : un accès restreint par mot de passe, le chiffrement des données, des sauvegardes sécurisées ou encore une politique d’accès limitée au strict nécessaire.

4. Comment le mettre en place simplement ?

Pas besoin de logiciel complexe. Voici les étapes :

  1. Lister les activités RH qui utilisent des données personnelles

  2. Pour chaque activité, remplir une ligne dans le tableau (finalité, durée, sécurité...)

  3. Stocker le registre dans un lieu sécurisé et accessible

  4. Le mettre à jour régulièrement (nouvel outil, nouveau prestataire, évolution RH)

Astuce : impliquez le/la responsable RH et, si besoin, un DPO externe.

5. Et si je ne fais rien ?

En cas de contrôle, ne pas pouvoir présenter de registre peut entraîner :

  • une mise en demeure publique,

  • voire une amende, même pour une petite structure.

Exemple réel : une TPE ayant conservé des CV pendant plus de 5 ans sans registre a reçu un avertissement officiel + une obligation de mise en conformité sous 2 mois.

IT-TSP peut vous aider

Chez IT-TSP, on accompagne les TPE, PME, écoles, associations et collectivités dans leur mise en conformité :

Formation RGPD appliquée aux RH (3h)
Création ou mise à jour du registre RH
Accompagnement à la conformité globale (audit, DPO externalisé)

contact

contact@it-tsp.com

01 41 71 00 13

© 2025. All rights reserved.

Suivez-nous sur nos réseaux sociaux