L’article 35.4 du RGPD prévoit que « l’autorité de contrôle établit et publie une liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise ». Cette liste établie par la CNIL a été publiée le 6 novembre 2018 au journal officiel[1].

Les traitements concernés sont les suivants :

– certains traitements recourant à des données de santé (traitements par les établissements de santé ou médico sociaux pour la prise en charge des personnes, traitements portant sur les données génétiques de personnes vulnérables, traitements permettant la constitution d’un entrepôt de données ou d’un registre, traitement de données biométriques pour la reconnaissance de personnes incluant des personnes vulnérables). Dans le domaine du médico-social, sont également concernés les traitements ayant pour finalité l’accompagnement social ou médico-social des personnes et les traitements ayant pour finalité la gestion de l’alerte et le signalement dans le domaine social et sanitaire ;

– des traitements dans le domaine de la gestion des ressources humaines (profils et surveillance constante de l’activité des employés) et des relations professionnelles (traitements ayant pour finalité la gestion de l’alerte et le signalement en matière professionnelle) ;

– certains traitements en lien avec le logement (instruction des demandes et gestion des logements sociaux) ;

– certains traitements mettant en œuvre un profilage (profilage faisant appel à des données de sources externes, profilage pouvant aboutir à l’exclusion du bénéfice d’un contrat, à sa suspension ou à sa rupture) ;

– les traitements mutualisés de manquements contractuels constatés, susceptibles d’aboutir à une décision d’exclusion ou de suspension du bénéfice d’un contrat ;

– les traitements de données de localisation à large échelle.

Sur son site internet, la CNIL met à disposition cette liste accompagnée d’exemples concrets[2], utile pour les responsables de traitement.

Suite aux préconisations du CEPD[3], la CNIL a précisé que cette liste n’était pas exhaustivedes traitements n’y figurant pas pouvant néanmoins nécessiter la réalisation d’un PIA.

Par ailleurs, la CNIL rappelle dans ses dernières lignes directrices[4] que les traitements réunissant deux des neuf critères établis par le G29[5] doivent également faire l’objet d’un PIA (demande d’ajout du CEPD). La CNIL précise que cette liste sera revue régulièrement « selon son appréciation des « risques élevés » que peuvent présenter certains traitements ».

Le CEPD a indiqué que les traitements comprenant des données biométriques ou génétiques ne présentaient pas systématiquement un risque élevé et qu’un autre critère du G29 devait être présent pour imposer un PIA.

Ont également été intégrés à la liste initiale sur avis du CEPD, les traitements utilisant les données de localisation (si deux des critères du G29 sont remplis) et les traitements impliquant la surveillance systématique des salariés (si deux des critères du G29 sont remplis).

Pascal Alix, avocat à la Cour et DPO externe

Séverine Lair, avocat à la Cour

 

[1] Délibération n°2018-327 du 11 octobre 2018 portant adoption de la liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise

[2] https://www.cnil.fr/fr/ce-quil-faut-savoir-sur-lanalyse-dimpact-relative-la-protection-des-donnees-aipd

[3] Opinion9/2018 on the draft list of the competent supervisory authority of France regarding the processing operations subject to the requirement of a data protection impact assessment (Article 35.4 GDPR), Adopted on 25th September2018

[4] Délibération n° 2018-326 du 11 octobre 2018 portant adoption de lignes directrices sur les analyses d’impact relatives à la protection des données (AIPD) prévues par le règlement général sur la protection des données (RGPD)

[5] WP 248rév.01,17/FR, Lignes directrices concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est « susceptible d’engendrer un risque élevé » aux fins du règlement (UE) 2016/679, adoptées le 4 avril 2017 et modifiée le 4 octobre 2017