Registre des Activités de Traitement RGPD Belgique (Article 30)

Le Registre des Activités de Traitement RGPD Belgique (Article 30) en Belgique est régi par Règlement (UE) 2016/679 (RGPD) art. 30 et encadre les engagements réciproques des parties contractantes sous le régime du droit belge des obligations.

L'article 30 du RGPD impose la tenue d'un tel registre à tout organisme comptant 250 travailleurs ou plus, ou dont les traitements sont susceptibles d'engendrer un risque pour les droits et libertés des personnes concernées, ou traitent des données sensibles (catégories spéciales au sens de l'article 9 RGPD : données de santé, opinions politiques, convictions religieuses, données génétiques, données biométriques, données sur l'orientation sexuelle), ou traitent des données relatives à des condamnations pénales et infractions (article 10 RGPD). En pratique, la grande majorité des entreprises belges — y compris les PME — doivent tenir ce registre en raison de l'une ou l'autre de ces conditions, notamment la présence de données RH (données de santé dans les certificats médicaux, données sociales ONSS).

La base légale belge repose sur deux niveaux : le RGPD directement applicable depuis le 25 mai 2018, et la Loi du 30 juillet 2018 (LCDP) qui complète et précise le RGPD en droit belge, notamment pour les traitements dans les secteurs de la sécurité nationale, la police, la justice et les traitements à des fins historiques, statistiques ou scientifiques. L'Autorité de protection des données (APD) a son siège rue du Colonel Bourg 29, 1140 Bruxelles, et dispose de pouvoirs d'investigation (article 58(1) RGPD) et de correction (article 58(2) RGPD) incluant des amendes administratives jusqu'à 20 millions EUR ou 4% du chiffre d'affaires mondial.

Le registre se compose de fiches de traitement individuelles, une par activité distincte. Chaque fiche correspond à un traitement ayant une finalité principale identifiable : gestion des ressources humaines (dossiers du personnel), gestion clients et CRM, marketing direct, vidéosurveillance, gestion des visiteurs, traitement des candidatures, tenue de la comptabilité et des obligations fiscales auprès du SPF Finances, gestion des fournisseurs, systèmes de contrôle d'accès, etc. Le regroupement de traitements similaires en une seule fiche est admis si les finalités, les catégories de données et les conditions de traitement sont identiques.

La distinction entre responsable de traitement et sous-traitant est fondamentale pour le registre. Le responsable de traitement (article 4(7) RGPD) est l'organisme qui détermine les finalités et les moyens du traitement — c'est lui qui tient le registre des traitements qu'il effectue pour son propre compte. Le sous-traitant (article 4(8) RGPD) traite les données pour le compte du responsable — il tient un registre distinct de ses activités de sous-traitance (article 30(2) RGPD) mentionnant les catégories de traitements effectués pour chaque responsable. En Belgique, les secrétariats sociaux (SD Worx, Partena Professional, Securex, Acerta) sont des sous-traitants typiques qui tiennent leur propre registre de sous-traitance.

L'Autorité de protection des données (APD) belge a publié des lignes directrices spécifiques sur la tenue du registre, disponibles sur son site www.autoriteprotectiondonnees.be. Elle a prononcé plusieurs décisions sanctionnant des responsables de traitement belges pour absence de registre ou registre incomplet : décision 38/2020 (absence de registre dans une entreprise de 200+ travailleurs, amende 15.000 EUR), décision 114/2021 (registre incomplet sans délais de conservation, amende 50.000 EUR). La tenue d'un registre conforme est donc un prérequis indispensable à tout programme de conformité RGPD en Belgique.

Le Registre des Activités de Traitement RGPD Belgique est requis dans de nombreuses situations pour les organisations traitant des données personnelles. Voici les principaux cas.

Obligation légale pour les organismes de 250+ travailleurs. L'article 30(5) RGPD impose une obligation inconditionnelle de tenir ce registre à tout organisme comptant 250 travailleurs ou plus. Pour les entreprises belges, cela inclut la quasi-totalité des grandes entreprises et des groupes internationaux opérant en Belgique, indépendamment de leur secteur. Le registre doit couvrir TOUS les traitements réalisés par l'organisme, y compris les traitements IT (applications, CRM, SIRH, outils cloud), les traitements physiques (archives papier, dossiers du personnel), et les traitements réalisés via des sous-traitants (secrétariat social, prestataires cloud, cabinets de recrutement).

PME et organisations de moins de 250 travailleurs. L'exception prévue par l'article 30(5) ne s'applique pas si le traitement est susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, si le traitement n'est pas occasionnel, si le traitement porte sur des catégories spéciales de données (données de santé, données génétiques, données biométriques selon l'article 9 RGPD) ou sur des données relatives à des condamnations pénales et infractions (article 10 RGPD). En pratique, pratiquement toutes les PME belges doivent tenir ce registre car elles traitent des données de travailleurs (ONSS, fiches de paie, certificats médicaux) et des données clients, ce qui dépasse le caractère occasionnel.

Obligations spécifiques pour les secteurs réglementés. Les établissements de crédit et les entreprises d'assurance soumis à la supervision de la Banque Nationale de Belgique (BNB/NBB) et de la FSMA doivent tenir un registre complet intégré à leur plan de continuité des activités (BCP) et à leur politique de sécurité informatique. Les hôpitaux et les prestataires de soins de santé traitant des données de santé (catégorie spéciale article 9(1) RGPD) ont des obligations renforcées, supervisées par l'Autorité de protection des données (APD) et l'Agence fédérale des médicaments et des produits de santé (AFMPS). Les ASBL et organisations sans but lucratif traitant des données de membres, donateurs et bénéficiaires doivent également tenir ce registre.

Préparation à un audit de l'APD ou certification ISO 27001. L'Autorité de protection des données (APD) peut demander la communication du registre dans le cadre d'une investigation (article 58(1)(a) RGPD). Un registre complet et à jour est le premier document demandé par les auditeurs de l'APD. La certification ISO 27001 (sécurité des systèmes d'information) requiert un inventaire des actifs d'information incluant les traitements de données personnelles, constituant la base du registre RGPD.

Le Registre des Activités de Traitement RGPD Belgique doit contenir plusieurs informations obligatoires selon l'article 30 du RGPD. Voici les éléments essentiels par fiche de traitement.

Identification du responsable de traitement et du DPO. Chaque fiche doit mentionner les coordonnées du responsable de traitement (nom/dénomination, adresse, numéro BCE/KBO, e-mail de contact) et, le cas échéant, les coordonnées du Délégué à la protection des données (DPO). La désignation d'un DPO est obligatoire pour les autorités publiques, les organismes effectuant un suivi régulier et systématique à grande échelle des personnes concernées, et les organismes traitant à grande échelle des catégories spéciales de données (article 37 RGPD). En Belgique, le DPO doit être communiqué à l'APD (article 37(7) RGPD) via le formulaire en ligne sur le site www.autoriteprotectiondonnees.be.

Finalités du traitement. La description des finalités doit être précise et complète, conformément au principe de limitation des finalités (article 5(1)(b) RGPD). La finalité doit être déterminée, explicite et légitime. Exemple pour le traitement RH : administration des contrats de travail et obligations ONSS, gestion de la paie et précompte professionnel (SPF Finances), gestion des absences et congés, évaluation et développement des travailleurs. Exemple pour le CRM client : gestion de la relation commerciale, facturation et recouvrement, envoi de communications commerciales sur base de l'intérêt légitime ou du consentement, statistiques commerciales anonymisées.

Base légale du traitement. L'article 30 RGPD n'impose pas formellement d'indiquer la base légale dans le registre, mais l'APD belge le recommande fortement comme bonne pratique de conformité. La base légale doit être choisie parmi les six bases de l'article 6(1) RGPD : (a) consentement, (b) exécution d'un contrat, (c) obligation légale, (d) intérêts vitaux, (e) mission d'intérêt public, (f) intérêts légitimes. Pour les données sensibles (article 9 RGPD), une base supplémentaire au titre de l'article 9(2) est requise (consentement explicite, nécessité pour obligations de droit du travail, données manifestement rendues publiques, etc.).

Catégories de personnes concernées et catégories de données. L'article 30(1)(c) exige l'indication des catégories de personnes concernées (travailleurs, clients, fournisseurs, visiteurs, candidats, etc.) et des catégories de données traitées (article 30(1)(d)). Si des catégories spéciales au sens de l'article 9 sont traitées (données de santé, données biométriques, données génétiques, données révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses, l'appartenance syndicale, les données relatives à la vie sexuelle), cela doit être explicitement mentionné avec la base légale de l'article 9(2) correspondante. En Belgique, les données ONSS (numéro NISS, données salariales, données d'absences) sont couvertes par la Loi du 15 janvier 1990 relative à l'institution et à l'organisation d'une Banque-Carrefour de la Sécurité Sociale (BCSS).

Destinataires et transferts. La liste des destinataires ou catégories de destinataires (article 30(1)(d)) doit être exhaustive : services internes (RH, comptabilité, IT, direction), organismes externes légalement habilités (ONSS, SPF Finances, INAMI/RIZIV, Tribunal du travail, etc.), sous-traitants contractuels (secrétariat social, prestataires cloud, cabinets de recrutement). Pour les transferts vers des pays hors UE/EEE (articles 44-49 RGPD), la garantie appropriée doit être mentionnée : décision d'adéquation de la Commission européenne (par exemple États-Unis via le Data Privacy Framework depuis 2023), clauses contractuelles types (CCT, décision 2021/914), règles d'entreprise contraignantes (BCR). En Belgique, l'APD a émis des guidelines sur les transferts hors UE dans sa Décision 123/2022.

Délais de conservation. L'article 30(1)(f) exige des délais de conservation prévus pour l'effacement des données. Les délais belges de référence : dossiers du personnel 5 ans après la fin du contrat (prescription sociale article 26 Loi du 3 juillet 1978), documents comptables et fiscaux 7 ans (Loi du 17 juillet 1975 sur la comptabilité), contrats commerciaux 10 ans (délai de prescription commun article 2262bis ancien Code civil), images de vidéosurveillance maximum 30 jours sauf enquête judiciaire (Loi du 21 mars 2007, AR du 21 octobre 2021). Pour consulter des modèles complets conformes à la législation belge, les organismes peuvent utiliser les ressources disponibles sur forms-legal.com.

Mesures de sécurité. L'article 30(1)(g) exige une description générale des mesures de sécurité techniques et organisationnelles mises en oeuvre (article 32 RGPD). La description doit être concrète : chiffrement des données au repos (AES-256) et en transit (TLS 1.3), authentification à deux facteurs pour l'accès aux systèmes traitant des données personnelles, contrôle d'accès basé sur les rôles (RBAC), journaux d'accès et d'audit, procédure de notification des violations de données (article 33 RGPD : notification à l'APD dans 72 heures), analyses d'impact (DPIA — article 35 RGPD) pour les traitements à risque élevé, contrats de sous-traitance conformes à l'article 28 RGPD avec les prestataires extérieurs.

Établir un Registre des Activités de Traitement RGPD conforme à l'article 30 pour un organisme belge requiert une approche méthodique. Voici les étapes pour compléter correctement ce registre.

Étape 1 - Identifier l'organisme responsable de traitement. Renseignez la dénomination sociale exacte telle qu'inscrite à la Banque-Carrefour des Entreprises (BCE/KBO), le numéro BCE (format 0xxx.xxx.xxx), l'adresse du siège social et les coordonnées de contact principales pour les questions relatives à la protection des données. Si votre organisme a désigné un Délégué à la protection des données (DPO — obligatoire pour les autorités publiques, les traitements à grande échelle de données sensibles selon l'article 37 RGPD), indiquez ses coordonnées. Le DPO doit être notifié à l'APD via le formulaire en ligne sur www.autoriteprotectiondonnees.be.

Étape 2 - Recenser tous vos traitements via un inventaire préalable. Avant de remplir les fiches, réalisez un inventaire complet de tous vos traitements en interviewant les responsables de chaque département. Questions types : quelles données personnelles collectez-vous? Pourquoi? Qui y a accès? Combien de temps les conservez-vous? Avec qui les partagez-vous? Cet inventaire peut être réalisé via un questionnaire interne, des ateliers par département (RH, marketing, commercial, IT, comptabilité) ou un audit conduit par un DPO externe. Identifiez les traitements par finalité principale : gestion RH (dossiers du personnel, paie, absences), gestion commerciale (CRM clients), comptabilité, marketing, vidéosurveillance, recrutement, gestion des accès IT, etc.

Étape 3 - Remplir une fiche de traitement par activité. Pour chaque traitement identifié, remplissez une fiche séparée. Commencez par l'intitulé : court et évocateur (exemple : Gestion de la paie et déclarations ONSS). Décrivez précisément les finalités (pourquoi traitez-vous ces données?), les catégories de personnes concernées (qui?), les catégories de données (quoi?). Choisissez la base légale principale parmi les six bases de l'article 6(1) RGPD. Pour la gestion RH, c'est généralement l'exécution du contrat de travail (article 6(1)(b)) et le respect d'obligations légales (article 6(1)(c), notamment les déclarations ONSS et SPF Finances).

Étape 4 - Lister tous les destinataires sans omission. Listez TOUS les destinataires, internes et externes : services internes habilités (RH, comptabilité, management), organismes légaux (ONSS, SPF Finances, Tribunal du travail, médecin du travail), sous-traitants contractuels (secrétariat social SD Worx/Partena/Securex/Acerta, prestataire cloud, logiciel SIRH). Pour les sous-traitants, vérifiez qu'un contrat de sous-traitance conforme à l'article 28 RGPD a bien été conclu. Si des données sont transférées vers des pays hors UE/EEE (par exemple serveurs aux États-Unis, prestataire en Inde), identifiez la garantie applicable.

Étape 5 - Définir des délais de conservation réalistes et conformes. Le délai de conservation doit être justifié par une obligation légale, une nécessité contractuelle ou un intérêt légitime, conformément au principe de limitation de la durée de conservation (article 5(1)(e) RGPD). Basez-vous sur les délais légaux belges de référence : prescription sociale 5 ans (Loi du 3 juillet 1978), délai de conservation comptable 7 ans (Loi du 17 juillet 1975), prescription civile 10 ans (ancien article 2262bis Code civil). Prévoyez des procédures d'effacement automatique (purge des bases de données) ou d'anonymisation à l'échéance des délais.

Étape 6 - Décrire concrètement les mesures de sécurité. Ne vous contentez pas de généralités comme mesures de sécurité appropriées. Détaillez : chiffrement (AES-256 pour les données au repos, TLS 1.3 pour les transferts), contrôle d'accès (authentification forte 2FA, RBAC), journaux d'audit, sauvegardes, formation des travailleurs, procédure de notification des violations. Pour les traitements à risque élevé (vidéosurveillance intensive, profilage, données biométriques), vérifiez si une Analyse d'Impact relative à la Protection des Données (DPIA — article 35 RGPD) est requise. L'APD belge a publié une liste des traitements nécessitant une DPIA (décision 27/2019).

Étape 7 - Maintenir le registre à jour. Le registre doit être mis à jour en temps réel lors de chaque changement significant : nouveau traitement mis en oeuvre, changement de sous-traitant ou de destinataire, modification des délais de conservation, modification des mesures de sécurité. Une révision complète annuelle est recommandée. Nommez un responsable de la tenue du registre (DPO interne, Compliance Manager ou responsable IT selon la taille de l'organisme). Documentez les mises à jour avec leur date pour démontrer la conformité continue à l'APD en cas de contrôle.

La tenue d'un Registre des Activités de Traitement en Belgique repose sur un cadre légal précis dont la méconnaissance expose à des sanctions significatives.

Article 30 du RGPD — obligation de tenue du registre. L'article 30(1) du Règlement (UE) 2016/679 impose au responsable de traitement de tenir un registre des activités de traitement effectuées sous sa responsabilité, contenant a minima : les coordonnées du responsable de traitement et du DPO, les finalités du traitement, les catégories de personnes concernées et de données traitées, les catégories de destinataires, les transferts vers des pays tiers, les délais de conservation prévus, une description générale des mesures de sécurité. L'article 30(2) impose au sous-traitant de tenir un registre distinct de ses activités de sous-traitance. L'article 30(3) exige que ces registres soient rédigés par écrit, y compris en format électronique. L'article 30(4) impose leur mise à disposition de l'autorité de contrôle sur demande.

Loi du 30 juillet 2018 relative à la protection des personnes physiques (LCDP). La LCDP est la loi belge de mise en oeuvre du RGPD. Elle précise le cadre applicable pour les traitements dans certains secteurs spécifiques : secteur de la police judiciaire et administrative (Livre II LCDP, articles 173-246), Sûreté de l'État, traitements à des fins scientifiques ou historiques. Pour les traitements ordinaires (employeurs, commerces, services), c'est le RGPD directement applicable depuis le 25 mai 2018 qui constitue le cadre principal, complété par la LCDP.

Autorité de protection des données (APD / GBA). L'APD (rue du Colonel Bourg 29, 1140 Bruxelles — www.autoriteprotectiondonnees.be) est l'autorité de contrôle nationale belge au sens de l'article 51 RGPD. Elle dispose de pouvoirs d'investigation (article 58(1) RGPD) incluant l'accès aux locaux, l'accès aux données et aux documents, la capacité de mener des audits, l'accès au registre. Elle dispose de pouvoirs correcteurs (article 58(2) RGPD) incluant l'injonction de mise en conformité, la limitation temporaire du traitement, l'amendes administratives jusqu'à 20 millions EUR ou 4% du chiffre d'affaires annuel mondial.

Décisions de l'APD sur l'obligation de registre. L'APD belge a sanctionné plusieurs organismes pour défaillances dans la tenue du registre. La Décision 38/2020 a infligé une amende de 15.000 EUR à une entreprise de 200+ travailleurs pour absence totale de registre. La Décision 114/2021 a sanctionné à hauteur de 50.000 EUR un prestataire de services pour un registre incomplet (absence de délais de conservation documentés, mesures de sécurité non décrites). Ces décisions soulignent l'obligation de disposer d'un registre concret, complet et à jour — pas d'un document générique.

Artcle 83 RGPD — régime des amendes administratives. La violation de l'article 30 RGPD (absence de registre ou registre non conforme) relève du régime d'amendes de l'article 83(4) RGPD, prévoyant des amendes jusqu'à 10 millions EUR ou 2% du chiffre d'affaires mondial. Les violations plus graves (traitements sans base légale, transferts illicites hors UE) relèvent de l'article 83(5) RGPD avec des amendes jusqu'à 20 millions EUR ou 4% du chiffre d'affaires. L'APD applique les critères de l'article 83(2) RGPD pour calculer le montant de l'amende, notamment la coopération avec l'APD, les mesures prises pour atténuer le préjudice et les infractions antérieures.

Protection internationale des données (transferts hors UE). Pour les transferts de données vers des pays tiers hors UE/EEE, les articles 44 à 49 RGPD imposent des garanties appropriées. En 2023, la Commission européenne a adopté une décision d'adéquation pour les États-Unis dans le cadre du Data Privacy Framework (DPF) permettant les transferts vers les entités certifiées DPF. Pour les autres pays tiers (Inde, Philippines, Maroc, etc.), les clauses contractuelles types (CCT) adoptées par décision 2021/914 de la Commission européenne sont la garantie standard. Le registre doit mentionner explicitement la garantie utilisée pour chaque transfert hors UE/EEE, sous peine d'amende spécifique.

La tenue d'un Registre des Activités de Traitement RGPD en Belgique présente des pièges fréquents qui en compromettent la conformité ou l'utilité.

Erreur 1 - Registre trop générique, non adapté aux traitements réels. La principale erreur est de télécharger un modèle générique de registre RGPD et de le compléter avec des descriptions vagues (traitement des données RH, marketing, comptabilité) sans détailler les finalités précises, les catégories de données réelles, les sous-traitants effectivement utilisés et les délais de conservation concrets. L'APD demande un registre fidèle à la réalité des traitements réalisés, pas un document théorique. Réaliser un inventaire préalable (interviews des responsables de département) est indispensable avant de compléter les fiches.

Erreur 2 - Omettre certains traitements (vidéosurveillance, BYOD, logs informatiques). Les traitements technologiques sont souvent oubliés du registre : vidéosurveillance des locaux (Loi du 21 mars 2007, AR du 21 octobre 2021 — délai conservation 30 jours max), journaux de connexion des systèmes informatiques (logs d'accès aux applications), gestion des appareils personnels utilisés pour le travail (BYOD — Bring Your Own Device), outils de monitoring de l'activité informatique (keyloggers, monitoring e-mails), applications de suivi des déplacements professionnels (GPS véhicules, appareils mobiles). Ces traitements sont parmi les plus sensibles en termes de risque pour les droits des travailleurs et sont particulièrement scrutés lors des contrôles de l'APD.

Erreur 3 - Ne pas lister tous les sous-traitants. Le registre doit mentionner TOUS les sous-traitants traitant des données pour le compte de la société. En Belgique, les sous-traitants oubliés les plus fréquents sont : le secrétariat social (SD Worx, Partena, Securex, Acerta — traitent l'ensemble des données salariales), le prestataire de stockage cloud (Microsoft Azure, AWS, Google Cloud — mentionner la localisation du datacenter EU), le logiciel RH ou CRM en mode SaaS (Workday, Salesforce, SAP SuccessFactors — vérifier l'existence d'un Data Processing Agreement article 28 RGPD), le cabinet de recrutement externe, la société de nettoyage avec accès aux locaux et aux ordinateurs. Pour chaque sous-traitant hors UE/EEE, la garantie de transfert (CCT, BCR, décision d'adéquation) doit être documentée.

Erreur 4 - Délais de conservation non renseignés ou irréalistes. L'APD belge a sanctionné plusieurs organismes pour absence de délais de conservation dans le registre. Indiquer délai à définir ou conservation illimitée est insuffisant et non conforme au principe de minimisation (article 5(1)(e) RGPD). Les délais doivent être précis et fondés sur des obligations légales ou des nécessités contractuelles documentées. Évitez les délais arbitrairement longs sans justification (ex : conservation des données de recrutement pendant 10 ans sans justification, alors que la prescription pour actions liées au recrutement est de 1 an selon la Loi du 10 mai 2007 sur les discriminations).

Erreur 5 - Registre non mis à jour. Un registre créé une fois et jamais mis à jour ne reflète pas la réalité des traitements courants. Les changements déclenchant une mise à jour obligatoire comprennent : déploiement d'un nouveau logiciel ou outil traitant des données personnelles, changement de sous-traitant, nouveau type de données collectées, modification des délais de conservation, réorganisation interne modifiant les destinataires internes, nouvelle exigence légale. Nommez explicitement un responsable de la tenue du registre (DPO, Compliance Manager, IT Manager) et définissez une procédure de mise à jour avec un calendrier de révision annuelle documenté.