La CNIL publie la liste des traitements de données personnelles soumis à analyse d’impact

Photo de profil - BOUNEDJOUM Amira | Avocat | Lettre des réseaux

BOUNEDJOUM Amira

Counsel

Délibération n°2018-326 du 11 octobre 2018 portant adoption de lignes directrices sur les analyses d'impact relatives à la protection des données (AIPD) prévues par le règlement général sur la protection des données (RGPD)

La CNIL a fait la liste des traitements de données personnelles qui seront soumis à une analyse d’impact préalable en respect des dispositions du RGPD.

Le Règlement Général sur la Protection des Données personnelles (RGPD) a introduit la notion d’analyse d’impact relative à la protection des données.

Cette analyse d’impact est un processus dont l’objet est de décrire le traitement, d’en évaluer la nécessité ainsi que la proportionnalité et d’aider le responsable du traitement à gérer les risques pour les droits et libertés des personnes concernées, en les évaluant et en déterminant les mesures de sécurité adéquates.

L’article 35 du RGPD prévoit l’obligation de réaliser une telle analyse d’impact lorsqu’un de traitement, en particulier par le recours à de nouvelles technologies, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques.

Depuis l’adoption du RGPD, de nombreux outils ont été publiés afin d’accompagner les responsables de traitement et les aider à faire face aux analyses d’impact.

Parmi ces outils, la CNIL a publié :

  • un logiciel de réalisation d’analyse d’impact (PIA sous licence Open source) ;
  • un guide présentant la méthodologie de l’analyse d’impact ;
  • un modèle d’analyse.

De son côté, le G29 (groupe des autorités de contrôle européennes) a adopté des lignes directrices d’une grande utilité notamment parce qu’au travers d’un certain nombre de critères, ces lignes aident à identifier si un traitement nécessite ou non la réalisation d’une analyse d’impact.

En effet, pour donner une vision plus concrète des opérations de traitement qui nécessitent une analyse d’impact, le G29 a dégagé neuf critères. Selon la méthode présentée, si un traitement répond à au moins deux de ces critères, alors une analyse d’impact s’avère nécessaire.

En synthèse, les neuf critères ont été présentés comme suit :

  • évaluation/scoring (y compris le profilage) ;
  • décision automatique avec effet légal ou similaire ;
  • surveillance systématique ;
  • collecte de données sensibles ;
  • collecte de données personnelles à large échelle ;
  • croisement de données ;
  • personnes vulnérables (patients, personnes âgées, enfants, etc.) ;
  • usage innovant (utilisation d’une nouvelle technologie) ;
  • exclusion du bénéfice d’un droit/contrat

Conformément à l’article 35-4 du RGPD, lequel prévoit qu’une autorité de contrôle doit établir et publier une liste des types d’opérations de traitement pour lesquelles une analyse d’impact est requise, La CNIL a publié le 6 novembre dernier, en tenant compte de ces neuf critères, sa liste des traitements qui par définition sont soumis à analyse d’impact.

A la lecture de cette liste, sont concernés les traitements des données de santé, de ressources humaines lorsqu’une surveillance individualisé des salariés est réalisée, de géolocalisation lorsque celle-ci est réalisé à grande échelle, des assurances et enfin des données recueillies dans le cadre de la gestion des logements sociaux.

Liste des traitements soumis à analyse d’impact :

  • Traitements de données de santé mis en œuvre par les établissements de santé ou les établissements médicosociaux pour la prise en charge des personnes ;
  • Traitements portant sur des données génétiques de personnes dites « vulnérables » (patients, employés, enfants, etc.) ;
  • Traitements établissant des profils de personnes physiques à des fins de gestion des ressources humaines ;
  • Traitements ayant pour finalité de surveiller de manière constante l’activité des employés concernés ;
  • Traitements ayant pour finalité la gestion des alertes et des signalements en matière sociale et sanitaire ;
  • Traitements ayant pour finalité la gestion des alertes et des signalements en matière professionnelle ;
  • Traitements des données de santé nécessaires à la constitution d’un entrepôt de données ou d’un registre ;
  • Traitements mutualisés de manquements contractuels constatés, susceptibles d’aboutir à une décision d’exclusion ou de suspension du bénéfice d’un contrat ;
  • Traitements de profilage faisant appel à des données provenant de sources externes ;
  • Traitements de données biométriques aux fins de reconnaissance des personnes parmi lesquelles figurent des personnes dites « vulnérables » (élèves, personnes âgées, patients, demandeurs d’asile, etc.) ;
  • Traitements impliquant le profilage des personnes pouvant aboutir à leur exclusion du bénéfice d’un contrat ou à la suspension voire à la rupture de celui-ci ;
  • Instruction des demandes et gestion des logements sociaux ;
  • Traitements ayant pour finalité l’accompagnement social ou médico-social des personnes ;
  • Traitements de données de localisation à large échelle.

A rapprocher : Délibération n°2018-326 du 11 octobre 2018 

Sommaire

Autres articles

some
Le rapport de la CNIL pour l’année 2021 met en lumière la prise de conscience du citoyen dans la protection de leurs données personnelles
42e rapport d’activité de la CNIL (année 2021) « Protéger les données personnelles, Accompagner l’innovation, Préserver les libertés individuelles » Madame Marie-Laure Denis, présidente de la CNIL affirmait que « plus que jamais, c’est le respect d’un équilibre entre accompagnement…
some
Sanction de 1.5 million d’euros pour un éditeur-intégrateur de progiciel à destination des laboratoires d’analyse médicale
Délibération de la CNIL du 15 avril 2022 Article rédigé par Eve-Anne Dujardin et Valentine Quiniou.
some
Du Big Data à la Smart Data : les 3 clefs d’évaluation pour que les données rentrent dans les actifs des entreprises
Qu’il s’agisse de données à caractère personnel, y compris des données ouvertes, voire les données industrielles leur valorisation devient un enjeu économique. Ainsi, tout jeux de données recèle une valeur, à condition qu’il soit composé de données qualifiées. Après l’époque…
some
L’autorité de protection des données irlandaise, cible de nombreuses controverses
Irish Council for Civil Libertie’s 2021 report on the enforcement capacity of data protection authorities Plusieurs organisations font état de défaillances de la Data Protection Commission (DPC), l’autorité de protection des données irlandaise, et estiment que cette dernière freine la…
some
La valorisation de la donnée restera-t-elle l’apanage des G.A.F.A.M. ?
Journal du Management Juridique n°84 L’explosion du volume des données informatiques, du fait du développement de l’Internet et des nouvelles technologies de l’information, a ouvert de nouveaux horizons aux entreprises. Certaines utilisent déjà une partie de ces données pour prédire…
some
« AlerteCyber » : mise en place d’un dispositif d’alerte destiné aux petites entreprises en cas de cyberattaque
« AlerteCyber » : mise en place d’un dispositif d’alerte destiné aux petites entreprises en cas de cyberattaque Communiqué de presse du Gouvernement, 20 juillet 2021 Le contexte de crise sanitaire a largement contribué à la multiplication d’attaques informatiques visant…