RGPD : opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données est requise
Par Valérie Michelet - Le 06 novembre 2018.
Au JO du 6 novembre 2018, sont publiées deux délibérations de la Cnil relatives aux analyses d'impact relatives à la protection des données (AIPD) prévues par le règlement général sur la protection des données (RGPD).
En complément de celles adoptées le 4 octobre 2017 au niveau européen par le groupe de travail « article 29 » (G29), et reprises à son compte par le Comité européen à la protection des données (CEPD) le 25 mai 2018, la Cnil a estimé utile d'adopter des lignes directrices afin de préciser le périmètre de l'obligation d'effectuer une AIPD, les conditions de réalisation de celle-ci et, enfin, les cas dans lesquels une AIPD doit lui être transmise.
La Cnil liste ensuite les types d'opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données est requise. Cette liste a un caractère non-exhaustif.
Conformément à l'article 35.1 du RGPD, une AIPD devra être réalisée dès lors que le traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques. Cette liste est basée sur les lignes directrices du CEPD relatives à l'analyse d'impact relative à la protection des données (AIPD) qu'elle vient compléter et préciser pour des traitements spécifiques.
Sont notamment concernés :
- les traitements établissant des profils de personnes physiques à des fins de gestion des ressources humaines (Critères issus des lignes directrices du CEPD qu'ils remplissent : évaluation ou notation, personnes dites « vulnérables » ;
- les traitements ayant pour finalité la gestion des alertes et des signalements en matière professionnelle (Critères issus des lignes directrices du CEPD qu'ils remplissent : personnes dites « vulnérables », évaluation ou notation, collecte de données sensibles.