Publication de la liste des traitements non soumis à analyse d’impact

5 novembre 2019

La CNIL a rendu une délibération N°2019-118 du 12 septembre 2019 portant adoption de la liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données n’est pas requise.

L’analyse d’impact est une notion introduite par le RGPD, dont l’article 35 en impose la réalisation dans les cas suivants :

  • l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire;
  • le traitement à grande échelle de catégories particulières de données ou de données à caractère personnel relatives à des condamnations pénales et à des infractions ; ou
  • la surveillance systématique à grande échelle d’une zone accessible au public.

Le Comité Européen de la Protection des Données (CEPD) avait dressé, dans ses lignes directrices d’avril 2017, une liste de 10 critères et avait considéré que le traitement devait nécessiter une analyse d’impact en présence de 2 de ces critères.

Le CEPD avait cependant affirmé que certains traitements, bien que réunissant 2 des 10 critères, pourraient, dans certains cas, être dispensés d’analyse d’impact, sous réserve que le responsable du traitement soit en mesure d’expliquer et de documenter sa décision.

De son côté, après avoir listé, dans une délibération du 11 octobre 2018, les opérations de traitement soumises à analyse d’impact, la CNIL a, dans sa délibération du 12 septembre 2019, dressé une liste des opérations de traitement non soumises à la réalisation de cette analyse.

Ainsi, la liste des opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données n’est pas, selon la CNIL, requise, est la suivante :

  • traitements, mis en œuvre uniquement à des fins de ressources humaines et dans les conditions prévues par les textes applicables, pour la seule gestion du personnel des organismes qui emploient moins de 250 personnes, à l’exception du recours au profilage ;
  • traitements de gestion de la relation fournisseurs ;
  • traitements mis en œuvre dans les conditions prévues par les textes relatifs à la gestion du fichier électoral des communes ;
  • traitements destinés à la gestion des activités des Comités d’entreprise et d’établissement ;
  • traitements mis en œuvre par une association, une fondation ou toute autre institution sans but lucratif pour la gestion de ses membres et de ses donateurs dans le cadre de ses activités habituelles dès lors que les données ne sont pas sensibles ;
  • traitements de données de santé nécessaires à la prise en charge d’un patient par un professionnel de santé exerçant à titre individuel au sein d’un cabinet médical, d’une officine de pharmacie ou d’un laboratoire de biologie médicale ;
  • traitements mis en œuvre par les avocats dans le cadre de l’exercice de leur profession à titre individuel ;
  • traitements mis en œuvre par les greffiers des tribunaux de commerce aux fins d’exercice de leur activité ;
  • traitements mis en œuvre par les notaires aux fins d’exercice de leur activité notariale et de rédaction des documents des offices notariaux ;
  • traitements mis en œuvre par les collectivités territoriales et les personnes morales de droit public et de droit privé aux fins de gérer les services en matière d’affaires scolaires, périscolaires et de la petite enfance ;
  • traitements mis en œuvre aux seules fins de gestion des contrôles d’accès physiques et des horaires pour le calcul du temps de travail, en dehors de tout dispositif biométrique ; à l’exclusion des traitements des données qui révèlent des données sensibles ou à caractère hautement personnel ;
  • traitements relatifs aux éthylotests, strictement encadrés par un texte et mis en œuvre dans le cadre d’activités de transport aux seules fins d’empêcher les conducteurs de conduire un véhicule sous l’influence de l’alcool ou de stupéfiants.

La CNIL précise que le responsable de l’un de ces traitements restera soumis à l’ensemble des autres obligations lui incombant au titre du RGPD :

« Si la présence d’une opération de traitement sur la présente liste dispense de réaliser une analyse d’impact, le responsable de traitement reste soumis à l’ensemble des autres obligations qui lui incombent en application du RGPD et de la loi du 6 janvier 1978. Notamment, le fait qu’une activité de traitement relève de cette liste ne signifie pas qu’un responsable de traitement est exempté des obligations énoncées à l’article 32 du RGPD en matière de sécurité du traitement. »

Lien vers la délibération : https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000039248939&categorieLien=id

DERRIENNIC ASSOCIES 

Tags: , ,