La CNIL vient d’établir une liste des types d’opérations de traitement pour lesquelles une analyse d’impact (AIPD) relative à la protection des données n’est pas requise.
Cette liste permet également aux entreprises, a contrario, de vérifier qu’elles ont bien mis en œuvre une AIPD quand cela est nécessaire afin d’être en conformité avec le règlement général sur la protection des données (RGPD).
Le RGPD impose d’effectuer une analyse d’impact (AIPD) avant tout traitement à risque élevé pour les droits et libertés des personnes concernées
Entré en vigueur le 25 mai 2018, le règlement général sur la protection des données (RGPD) impose la conduite d’une analyse d’impact sur la protection des données à caractère personnel ou AIPD (en anglais privacy impact assessment / PIA ou DPIA) pour les traitements de données « susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées » (données dites « sensibles ») (règlt UE 2016/679 du 27 avril 2016 communément dénommé « RGPD », art. 35).
Cette procédure vise à « responsabiliser » les responsables de traitement et les sous-traitants qui manipulent des données à caractère personnel et permet de limiter l’obligation de déclaration préalable à l’autorité de contrôle (en France, la Commission nationale de l’informatique et des libertés/CNIL) aux seuls traitements susceptibles d’engendrer ces risques élevés. Les autres traitements sont inscrits au registre des traitements.
En pratique, lorsqu’un traitement, en particulier par le recours aux nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer des risques élevés pour les droits et libertés des personnes concernées, le responsable du traitement effectue, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel (RGPD, art. 35, § 1).
L’AIPD est également obligatoire dans 3 cas (RGPD, art. 35, § 3) :
– l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement informatisé (y compris le profilage) et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative,
– le traitement à grande échelle de catégories particulières de données (RGPD, art. 9, § 1), ou de données à caractère personnel relatives à des condamnations pénales et infractions,
– la surveillance systématique à grande échelle d’une zone accessible au public.
Liste des types d’opérations de traitement pour lesquelles une AIPD relative à la protection des données n’est pas requise
Les autorités peuvent établir et publier une liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données n’est pas requise (RGPD, art. 35, § 5).
Lorsque cette liste concerne des activités de traitements liées à l’offre de biens ou de services à des personnes concernées ou au suivi de leur comportement dans plusieurs États membres, ou peuvent affecter sensiblement la libre circulation des données à caractère personnel au sein de l’Union, elle doit être soumise au mécanisme de « contrôle de la cohérence » et doit être communiquée au Comité européen de la protection des données (CEPD) (RGPD, art. 35, § 6).
C’est dans ce cadre qu’un projet de liste a été adopté par la Commission et soumis au CEPD en avril dernier, pour donner lieu à l’adoption d’une liste définitive qui vient d’être publiée.
Il convient de préciser que cette liste complète et précise les lignes directrices adoptées par la Commission le 11 octobre 2018.
La liste adoptée par la CNIL se présente sous la forme du tableau suivant.
| Types d’opérations de traitement |
| Traitements, mis en œuvre uniquement à des fins de ressources humaines (RH) et dans les conditions prévues par les textes applicables, pour la seule gestion du personnel des organismes qui emploient moins de 250 personnes, à l’exception du recours au profilage |
| Traitements de gestion de la relation fournisseurs |
| Traitements mis en œuvre dans les conditions prévues par les textes relatifs à la gestion du fichier électoral des communes |
| Traitements destinés à la gestion des activités des comités d’entreprise et d’établissement [ndlr : le à notre avis les CSE devraient aussi logiquement être concernés] |
| Traitements mis en œuvre par une association, une fondation ou toute autre institution sans but lucratif pour la gestion de ses membres et de ses donateurs dans le cadre de ses activités habituelles dès lors que les données ne sont pas sensibles |
| Traitements de données de santé nécessaires à la prise en charge d’un patient par un professionnel de santé exerçant à titre individuel au sein d’un cabinet médical, d’une officine de pharmacie ou d’un laboratoire de biologie médicale |
| Traitements mis en œuvre par les avocats dans le cadre de l’exercice de leur profession à titre individuel |
| Traitements mis en œuvre par les greffiers des tribunaux de commerce aux fins d’exercice de leur activité |
| Traitements mis en œuvre par les notaires aux fins d’exercice de leur activité notariale et de rédaction des documents des offices notariaux |
| Traitements mis en œuvre par les collectivités territoriales et les personnes morales de droit public et de droit privé aux fins de gérer les services en matière d’affaires scolaires, périscolaires et de la petite enfance |
| Traitements mis en œuvre aux seules fins de gestion des contrôles d’accès physiques et des horaires pour le calcul du temps de travail, en dehors de tout dispositif biométrique. À l’exclusion des traitements des données qui révèlent des données sensibles ou à caractère hautement personnel |
| Traitements relatifs aux éthylotests, strictement encadrés par un texte et mis en œuvre dans le cadre d’activités de transport aux seules fins d’empêcher les conducteurs de conduire un véhicule sous l’influence de l’alcool ou de stupéfiants |
D’un point de vue pratique, on peut noter que les catégories d’opérations répertoriées dans cette liste et autorisant la dispense d’AIPD sont des traitements touchant, notamment, les fonctions RH des entreprises.
Ces dispenses devraient ainsi permettre d’alléger une partie des contraintes organisationnelles et opérationnelles induites par l’entrée en vigueur du RGPD depuis le 25 mai 2018, pour les fonctions RH, mais également pour d’autres départements (par exemple, à notre avis les services de comptabilité « fournisseurs » qui sont directement concernés par la 2e ligne du tableau).
Elle permet aussi, de fait, aux entreprises de déterminer les opérations de traitement qui nécessitent la mise en œuvre d’une analyse d’impact.
Même dispensées d’AIPD, les opérations de traitement demeurent naturellement soumises aux autres obligations requises par le RGPD
Si la présence d’une opération de traitement sur la liste ci-avant dispense de réaliser une analyse d’impact, le responsable de traitement reste soumis à l’ensemble des autres obligations qui lui incombent en application du RGPD et de la loi du 6 janvier 1978.
La CNIL indique à ce titre dans sa délibération que, notamment, le fait qu’une activité de traitement relève de cette liste de dispenses ne signifie pas qu’un responsable de traitement est exempté des obligations en matière de sécurité du traitement (nécessitant, par exemple, la pseudonymisation ou le chiffrement des données à caractère personnel ; RGPD art. 32).
https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000039248939&categorieLien=id
