1 novembre 2019

RGPD : la liste des traitements de données personnelles ne nécessitant pas une analyse d’impact a été publiée le 22 octobre 2019

PARTAGER

Le règlement européen général relatif à la protection des données (RGPD) prévoit qu’une analyse d’impact doit être menée quand un traitement est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées ».

Conformément au RGPD, les autorités de contrôle, telles que la CNIL, peuvent établir une liste des types d’opérations de traitement pour lesquelles une analyse d’impact n’est pas requise, ou au contraire une liste des opération pour lesquelles une analyse d’impact est requise.

 

L’AIPD (Analyse d’impact relative à la protection des données) est « un outil important pour la responsabilisation des entreprise : elle les aide non seulement à construire des traitements de données respectueux de la vie privée, mais aussi à démontrer leur conformité au Règlement général sur la protection des données » (source CNIL).

 

La CNIL a publié le 22 octobre 2019 la liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données n’est pas requise : Délibération n° 2019-118 du 12 septembre 2019.

 

Ainsi, les traitements ne nécessitant pas d’AIPD sont notamment :

  • Traitements de gestion de la relation fournisseurs ;
  • Traitements destinés à la gestion des activités des Comités d’entreprise et d’établissement ;
  • Traitements mis en œuvre aux seules fins de gestion des contrôles d’accès physiques et des horaires pour le calcul du temps de travail, en dehors de tout dispositif biométrique ;
  • Traitements, mis en œuvre uniquement à des fins de ressources humaines, pour la seule gestion du personnel des organismes qui emploient moins de 250 personnes, à l’exception du recours au profilage.

 

La CNIL a publié il y a un an, la liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise : Délibération n° 2018-327 du 11 octobre 2019.

 

Les sanctions en cas de manquement aux dispositions relatives aux analyses d’impact :

Le montant des amendes peut s’élever jusqu’à 10 000 000 euros ou, dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.

 

Inscrivez-vous à notre newsletter