La CNIL vient de publier au JORF la liste des traitements pour lesquels une Analyse d'Impact sur la Protection des Données (AIPD) est requise

 Ariane Mole, Merav Griguer

11-2018

La CNIL a adopté une liste des types d'opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données est requise (AIPD). Cette liste a été publiée le 6 novembre 2018 au JORF, consultable ici.

En effet, conformément au RGPD, les traitements présentant un risque élevé pour les droits et libertés des personnes doivent, pour être licites, faire l’objet d’une analyse d’impact.

L’article 35.4 du RGPD impose aux autorités de contrôle de chaque Etat-membre d'établir la liste des types d'opérations de traitement dont la mise en œuvre requiert une AIPD pour tout organisme public ou privé.

La liste de la CNIL est la suivante:

Types d'opérations de traitement Fondés sur les critères suivants issus des lignes directrices du Comité Européen de Protection des Données (CEPD)
Traitements de données de santé mis en œuvre par les établissements de santé ou les établissements médico-sociaux pour la prise en charge des personnes - collecte de données sensibles
- personnes dites « vulnérables »
Traitements portant sur des données génétiques de personnes dites « vulnérables » (patients, employés, enfants, etc.) - collecte de données sensibles
- personnes dites « vulnérables »
Traitements établissant des profils de personnes physiques à des fins de gestion des ressources humaines - évaluation ou notation
- personnes dites « vulnérables »
Traitements ayant pour finalité de surveiller de manière constante l'activité des employés concernés - personnes dites « vulnérables »
- surveillance systématique
Traitements ayant pour finalité la gestion des alertes et des signalements en matière sociale et sanitaire - personnes dites « vulnérables »
- évaluation ou notation
- collecte de données sensibles
Traitements ayant pour finalité la gestion des alertes et des signalements en matière professionnelle - personnes dites « vulnérables » - évaluation ou notation
- collecte de données sensibles
Traitements des données de santé nécessaires à la constitution d'un entrepôt de données ou d'un registre    - collecte de données sensibles
- personnes dites « vulnérables »
 Traitements impliquant le profilage des personnes pouvant aboutir à leur exclusion du bénéfice d'un contrat ou à la suspension voire à la rupture de celui-ci    - évaluation ou notation
- croisement ou combinaison d'ensemble de données
Traitements mutualisés de manquements contractuels constatés, susceptibles d'aboutir à une décision d'exclusion ou de suspension du bénéfice d'un contrat    - croisement ou combinaison d'ensemble de données
- prise de décision automatisée avec effet juridique ou effet similaire significatif
Traitements de profilage faisant appel à des données provenant de sources externes    - évaluation ou notation
- croisement ou combinaison d'ensemble de données
Traitements de données biométriques aux fins de reconnaissance des personnes parmi lesquelles figurent des personnes dites « vulnérables » (élèves, personnes âgées, patients, demandeurs d'asile, etc.)    - collecte de données sensibles
- personnes dites « vulnérables »
 
Instruction des demandes et gestion des logements sociaux - collecte de données sensibles
- évaluation ou notation
Traitements ayant pour finalité l'accompagnement social ou médico-social des personnes    - collecte de données sensibles
- évaluation ou notation
- personnes dites « vulnérables »
Traitements de données de localisation à large échelle    - collecte de données sensibles
- données traitées à grande échelle

De plus, la CNIL a publié le même jour une autre délibération portant adoption de lignes directrices sur les analyses d'impact qui contient des explications sur les traitements qui ne sont pas soumis à une AIPD, car ils ne risquent pas d'engendrer « un risque élevé pour les droits et libertés des personnes physiques ». Les lignes directrices sont disponibles ici.

La CNIL indique qu'elle publiera bientôt une liste des traitements ne nécessitant pas d'AIPD. En attendant, la CNIL a déjà déterminé deux cas de traitements où l'AIPD n'est pas requise:

 Traitements répondant à la nécessité de respecter une obligation légale Traitements pour lesquels une AIPD similaire a déjà été menée 

Ne sont pas soumis à AIPD les traitements répondant au respect d'une obligation légale à laquelle le responsable de traitement est soumis, ou nécessaires à l'exercice d'une mission de service public confié au responsable de traitement, lorsque ces traitements ont une base juridique dans le droit national ou de l'Union européenne, que ce droit les réglemente, et qu'une AIPD a déjà été menée lors de l'adoption de cette base juridique.

Une AIPD n'est pas non plus requise lorsque la nature, la portée, le contexte et les finalités des traitements envisagés sont très similaires à un traitement pour lequel une AIPD a déjà été menée par le responsable de traitement ou par un tiers (autorités ou organismes publics, regroupement de responsables de traitement, etc.) ; dans ce cas, les résultats de l'AIPD déjà menée peuvent être réutilisés.

Cependant, la CNIL souligne que, même dans les cas où une AIPD n'est pas nécessaire, le processus doit respecter les principes de l'article 5 du RGPD et les droits des personnes concernées.

 

Auteurs

Merav Griguer photo

Merav Griguer

Partner
France

Me joindre +33 (0)1 42 68 6000

Ariane Mole

Partner
France

Me joindre +33 (0)1 42 68 6000