RGPD : la CNIL publie une liste des traitements pour lesquels une analyse d'impact est requise

Conformément à l’art. 35 al. 4 RGPD, dans une délibération n° 2018-327 du 11 octobre 2018, publiée au journal officiel du 6 novembre 2018, la CNIL a publié la liste des traitements de données personnelles qui nécessitent une analyse d’impact relative à la protection des données.

L’art. 35 RGPD impose au responsable de traitement d’effectuer avant la mise en œuvre ou la modification d’un traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données. Cette analyse d’impact doit être effectuée lorsque le traitement envisagé est susceptible, compte tenu de la nature, de la portée, du contexte et des finalités du traitement, d’engendrer un risque élevé pour les droits et libertés des personnes physiques.

L’art. 35 al. 3 RGPD liste trois types de traitements de données personnelles qui sont susceptibles d’engendrer un tel risque. Pour sa part, le Comité européen de la protection des données (CEPD) a établi neuf critères qui permettent d’identifier un traitement présentant ce risque. La CNIL précise que sa liste est basée sur les lignes directrices du CEPD qu’elle vient compléter.

Des exemples des traitements listés ci-dessous par la CNIL sont disponibles ici.

  • Traitements de données de santé mis en œuvre par les établissements de santé ou les établissements médicosociaux pour la prise en charge des personnes
  • Traitements portant sur des données génétiques de personnes dites « vulnérables » (patients, employés, enfants, etc.)
  • Traitements établissant des profils de personnes physiques à des fins de gestion des ressources humaines
  • Traitements ayant pour finalité de surveiller de manière constante l’activité des employés concernés
  • Traitements ayant pour finalité la gestion des alertes et des signalements en matière sociale et sanitaire
  • Traitements ayant pour finalité la gestion des alertes et des signalements en matière professionnelle
  • Traitements des données de santé nécessaires à la constitution d’un entrepôt de données ou d’un registre
  • Traitements impliquant le profilage des personnes pouvant aboutir à leur exclusion du bénéfice d’un contrat ou à la suspension voire à la rupture de celui-ci
  • Traitements mutualisés de manquements contractuels constatés, susceptibles d’aboutir à une décision d’exclusion ou de suspension du bénéfice d’un contrat
  • Traitements de profilage faisant appel à des données provenant de sources externes
  • Traitements de données biométriques aux fins de reconnaissance des personnes parmi lesquelles figurent des personnes dites « vulnérables » (élèves, personnes âgées, patients, demandeurs d’asile, etc.)
  • Instruction des demandes et gestion des logements sociaux
  • Traitements ayant pour finalité l’accompagnement social ou médicosocial des personnes
  • Traitements de données de localisation à large échelle