La CNIL a rendu une délibération N°2018-327 du 11 octobre 2018 portant adoption de la liste des types d’opération de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise.
L’analyse d’impact est une notion introduite par le RGPD, dont l’article 35 en impose la réalisation dans les cas suivants :
- l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire;
- le traitement à grande échelle de catégories particulières de données ou de données à caractère personnel relatives à des condamnations pénales et à des infractions ; ou
- la surveillance systématique à grande échelle d’une zone accessible au public.
Le Comité Européen de la Protection des Données (CEPD, anciennement G29) a dressé, au sein de ses lignes directrices d’avril 2017 sur le sujet, une liste de 10 critères permettant de déterminer quand une telle analyse serait requise. En présence de 2 de ces 10 critères, le traitement devrait nécessiter que soit réalisée une analyse d’impact.
Le CEPD a cependant d’ores et déjà affirmé que certains traitements réunissant 2 des 10 critères pourraient, dans certains cas, être dispensés d’analyse d’impact. Il conviendra, dès lors, dans une telle situation, que le responsable du traitement soit en mesure d’expliquer et de documenter sa décision de ne pas procéder à une analyse d’impact (dont la réalisation doit, en cas de doute, avoir lieu).
La CNIL, dans sa délibération du 11 octobre 2018, a dressé une liste des opérations de traitement soumis à la réalisation de cette analyse. Se basant sur les lignes directrices du CEPD, elle précise, pour chaque opération de traitement, quels sont les critères réunis.
Ainsi, la liste des opérations de traitement nécessitant de réaliser une analyse d’impact relative à la protection des données est, selon la CNIL, la suivante :
- traitements de données de santé mis en œuvre par les établissements de santé ou les établissements médico-sociaux pour la prise en charge des personnes ;
- traitements portant sur des données génétiques de personnes dites «vulnérables» (patients, employés, enfants, etc.) ;
- traitements établissant des profils de personnes physiques à des fins de gestion des ressources humaines ;
- traitements ayant pour finalité de surveiller de manière constante l’activité des employés concernés ;
- traitements ayant pour finalité la gestion des alertes et des signalements en matière sociale et sanitaire ;
- traitements ayant pour finalité la gestion des alertes et des signalements en matière professionnelle ;
- traitements des données de santé nécessaires à la constitution d’un entrepôt de données ou d’un registre ;
- traitements impliquant le profilage des personnes pouvant aboutir à leur exclusion du bénéfice d’un contrat ou à la suspension voire à la rupture de celui-ci ;
- traitements mutualisés de manquements contractuels constatés, susceptibles d’aboutir à une décision d’exclusion ou de suspension du bénéfice d’un contrat ;
- traitements de profilage faisant appel à des données provenant de sources externes ;
- traitements de données biométriques aux fins de reconnaissance des personnes parmi lesquelles figurent des personnes dites «vulnérables» (élèves, personnes âgées, patients, demandeurs d’asile, etc.) ;
- Instruction des demandes et gestion des logements sociaux ;
- traitements ayant pour finalité l’accompagnement social ou médico-social des personnes ;
- traitements de données de localisation à large échelle.
La CNIL précise dans cette délibération que cette liste a un caractère non-exhaustif. Conformément à l’article 35.1 du RGPD, une analyse d’impact devra être réalisée dès lors que le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques.
Cette délibération ne dispense donc pas les responsables de traitement de vérifier si leurs traitements, à supposer qu’ils ne figurent pas dans cette liste, nécessitent de conduire une telle analyse.