La CNIL publie la liste des traitements de données personnelles soumis à analyse d’impact

Photo de profil - BOUNEDJOUM Amira | Avocat | Lettre des réseaux

BOUNEDJOUM Amira

Avocat

Délibération n°2018-326 du 11 octobre 2018 portant adoption de lignes directrices sur les analyses d'impact relatives à la protection des données (AIPD) prévues par le règlement général sur la protection des données (RGPD)

La CNIL a fait la liste des traitements de données personnelles qui seront soumis à une analyse d’impact préalable en respect des dispositions du RGPD.

Le Règlement Général sur la Protection des Données personnelles (RGPD) a introduit la notion d’analyse d’impact relative à la protection des données.

Cette analyse d’impact est un processus dont l’objet est de décrire le traitement, d’en évaluer la nécessité ainsi que la proportionnalité et d’aider le responsable du traitement à gérer les risques pour les droits et libertés des personnes concernées, en les évaluant et en déterminant les mesures de sécurité adéquates.

L’article 35 du RGPD prévoit l’obligation de réaliser une telle analyse d’impact lorsqu’un de traitement, en particulier par le recours à de nouvelles technologies, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques.

Depuis l’adoption du RGPD, de nombreux outils ont été publiés afin d’accompagner les responsables de traitement et les aider à faire face aux analyses d’impact.

Parmi ces outils, la CNIL a publié :

  • un logiciel de réalisation d’analyse d’impact (PIA sous licence Open source) ;
  • un guide présentant la méthodologie de l’analyse d’impact ;
  • un modèle d’analyse.

De son côté, le G29 (groupe des autorités de contrôle européennes) a adopté des lignes directrices d’une grande utilité notamment parce qu’au travers d’un certain nombre de critères, ces lignes aident à identifier si un traitement nécessite ou non la réalisation d’une analyse d’impact.

En effet, pour donner une vision plus concrète des opérations de traitement qui nécessitent une analyse d’impact, le G29 a dégagé neuf critères. Selon la méthode présentée, si un traitement répond à au moins deux de ces critères, alors une analyse d’impact s’avère nécessaire.

En synthèse, les neuf critères ont été présentés comme suit :

  • évaluation/scoring (y compris le profilage) ;
  • décision automatique avec effet légal ou similaire ;
  • surveillance systématique ;
  • collecte de données sensibles ;
  • collecte de données personnelles à large échelle ;
  • croisement de données ;
  • personnes vulnérables (patients, personnes âgées, enfants, etc.) ;
  • usage innovant (utilisation d’une nouvelle technologie) ;
  • exclusion du bénéfice d’un droit/contrat

Conformément à l’article 35-4 du RGPD, lequel prévoit qu’une autorité de contrôle doit établir et publier une liste des types d’opérations de traitement pour lesquelles une analyse d’impact est requise, La CNIL a publié le 6 novembre dernier, en tenant compte de ces neuf critères, sa liste des traitements qui par définition sont soumis à analyse d’impact.

A la lecture de cette liste, sont concernés les traitements des données de santé, de ressources humaines lorsqu’une surveillance individualisé des salariés est réalisée, de géolocalisation lorsque celle-ci est réalisé à grande échelle, des assurances et enfin des données recueillies dans le cadre de la gestion des logements sociaux.

Liste des traitements soumis à analyse d’impact :

  • Traitements de données de santé mis en œuvre par les établissements de santé ou les établissements médicosociaux pour la prise en charge des personnes ;
  • Traitements portant sur des données génétiques de personnes dites « vulnérables » (patients, employés, enfants, etc.) ;
  • Traitements établissant des profils de personnes physiques à des fins de gestion des ressources humaines ;
  • Traitements ayant pour finalité de surveiller de manière constante l’activité des employés concernés ;
  • Traitements ayant pour finalité la gestion des alertes et des signalements en matière sociale et sanitaire ;
  • Traitements ayant pour finalité la gestion des alertes et des signalements en matière professionnelle ;
  • Traitements des données de santé nécessaires à la constitution d’un entrepôt de données ou d’un registre ;
  • Traitements mutualisés de manquements contractuels constatés, susceptibles d’aboutir à une décision d’exclusion ou de suspension du bénéfice d’un contrat ;
  • Traitements de profilage faisant appel à des données provenant de sources externes ;
  • Traitements de données biométriques aux fins de reconnaissance des personnes parmi lesquelles figurent des personnes dites « vulnérables » (élèves, personnes âgées, patients, demandeurs d’asile, etc.) ;
  • Traitements impliquant le profilage des personnes pouvant aboutir à leur exclusion du bénéfice d’un contrat ou à la suspension voire à la rupture de celui-ci ;
  • Instruction des demandes et gestion des logements sociaux ;
  • Traitements ayant pour finalité l’accompagnement social ou médico-social des personnes ;
  • Traitements de données de localisation à large échelle.

A rapprocher : Délibération n°2018-326 du 11 octobre 2018

Sommaire

Autres articles

some
Publication d’un avis de la Commission Supérieure du Numérique et des Postes portant recommandations dans le domaine de la sécurité numérique
La CSNP a publié [...] un avis portant recommandations dans le domaine de la sécurité numérique, et plaidant notamment pour la création d’un parquet national consacré à la cybercriminalité et pour la création d’un dispositif dédié au paiement des rançons
some
Le Conseil d’Etat se prononce sur la conservation des données de connexion à des fins de sauvegarde de la sécurité nationale
Dans une décision en date du 21 avril 2021, le Conseil d’Etat s’est prononcé sur la conformité du droit français au droit européen en matière de conservation des données de connexion par les fournisseurs de services de communications électroniques.
some
La cour d’appel de Paris apporte des précisions sur le régime applicable en matière de violation de licence de logiciel
La cour d’appel de Paris a, dans un arrêt du 19 mars 2021, considéré que la violation d’un contrat de licence de logiciel ne relevait pas de la responsabilité délictuelle mais de la responsabilité contractuelle.
some
La Commission européenne apporte des éclaircissements concernant les transferts de données personnelles vers le Royaume Uni
La Commission européenne a annoncé avoir engagé des démarches pour autoriser de façon générale les transferts de données à caractère personnel vers le Royaume Uni en publiant le 19 février 2021 deux projets de décisions dites « d’adéquation ».
some
Le révolutionnaire avis client
À l’heure où le marketing traditionnel est remis en cause, l’importance de l’avis client est grandissante. 88 % des internautes consultent les avis clients avant un achat en ligne et 73 % avant un achat en boutique .
some
Blocage de sites proposant des produits contrefaisants
En cas d’atteinte à une marque, le titulaire de celle-ci peut solliciter des mesures de blocage d’accès à des sites internet auprès des FAI sur le fondement de l’article 6-I-8 de la LCEN.