Depuis la mise en conformité du RGPD, il fut imposé que certains traitements de données à caractère personnel doivent faire l’objet d’une analyse d’impact relative à la protection des données (AIPD), notamment lorsqu’ils sont “susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées”.

Afin de respecter cette obligation, la CNIL avait apporté de nombreux outils afin de mieux la comprendre et la mettre en oeuvre par le biais de guides, d’étude de cas, de questions-réponses, outil PIA, ...

Or, le 6 novembre 2018, la CNIL a publié au Journal Officiel une délibération qui permet de lister les traitements de données nécessitant d’effectuer une analyse d’impact. Cette délibération trouve son origine dans un avis rendu par le Comité Européen de la Protection des Données (CEPD) en septembre sur 22 projets de listes élaborés par les autorités nationales de contrôle, dont la CNIL, afin d’homogénéiser l’application du RGPD au sein de l’Union Européenne. Ainsi, sur la base de cet avis, la CNIL a adopté sa liste d’opérations de traitement où une analyse d’impact relative à la protection des données personnelles serait obligatoire.

 

Cette délibération de la CNIL permet de répertorier 14 traitements de données précis où l’analyse d’impact est obligatoire, notamment par exemple :

 

  • Les traitements portant sur des données génétiques de personnes dites « vulnérables » (patients, employés, enfants, etc.)

  • Les traitements établissant des profils de personnes physiques à des fins de gestion des ressources humaines

  • Les traitements ayant pour finalité de surveiller de manière constante l’activité des employés concernés

  • etc.

 

Toutefois, cette liste ne vient pas limiter les seuls traitements où une AIPD serait obligatoire. En effet, d’autres traitements de données qui n’apparaissent pas dans cette liste peuvent faire l’objet d’une obligation de créer une AIPD, cette liste n’étant pas exhaustive. C’est le cas par exemple comme le souligne la CNIL des “traitements susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques au regard des 9 critères issus des lignes directrices du G29”.

 

Pour autant, cette liste n’est que le début des travaux de la CNIL puisque cette dernière a pour projet d’établir une liste des traitements pour lesquels aucune AIPD n’est exigée au regard du Règlement Général sur la Protection des Données (RGPD).

 

Rappelons toutefois que l’analyse d’impact est un outil important pour les organismes traitant des données personnelles car elle permet non seulement de construire des traitements de données respectueux de la vie privée en poussant les organismes à se pencher sur les risques sur la sécurité des données ainsi que sur leur impacts sur la vie privée, mais également à démontrer au yeux de la CNIL une conformité en bonne et due forme de l’organisme au RGPD.

 

Source : https://www.cnil.fr/fr/ce-quil-faut-savoir-sur-lanalyse-dimpact-relative-la-protection-des-donnees-aipd