Le RGPD prévoit qu’une analyse d’impact de protection des données (AIPD) doit être effectuée lorsqu’un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes. (Article 35 du RGPD)

L’analyse d’impact est définie comme « un processus permettant de décrire le traitement, d’en évaluer la nécessité ainsi que la proportionnalité et d’aider à gérer les risques pour les droits et libertés des personnes physiques, liés au traitement de leurs données à caractère personnel, en les évaluant et en déterminant les mesures nécessaires pour y faire face ».

Il y a 3 cas dans lesquels l’AIDP est requise car elle présente un risque élevé :

• En cas d’évaluation systématique et approfondi d’aspects personnels concernant des personnes physiques, fondée sur un traitement automatisé y compris le profilage , et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique  ou l’affectant de manière significative de façon similaire,
• Pour ce traitement à grande échelle de « données sensibles » ou de données à caractère personnel relatives à des condamnations pénales et à des infractions ou,
• Lors de la surveillance systématique à grande échelle d’une zone accessible au public.(RGPD Article 35 §3)

La CNIL a établi une liste indicative des opérations de traitement pour lesquelles une AIPD est requise avant leur mise en œuvre : Délibération n°2018-327 du 11 octobre 2018

Cette liste n’est pas exhaustive puisque dès lors qu’il existe un risque élevé pour les droits et libertés des personnes physiques, l’AIDP doit être réalisée.

Le RGP prévoit que les autorités de protection des données peuvent établir une liste des traitements pour lesquels une analyse d’impact relative à la protection des données n’est pas obligatoire  (RGPD Article 35§4 et 5)

La CNIL a adopté sa liste définitive le 12 septembre dernier après avoir soumis son projet au Comité Européen de la Protection des Données.

Cette  nouvelle délibération de la CNIL donne une liste de types d’opération de traitement pour lesquels l’AIPD n’est pas requise. (Délibération n°2019-118 du 12 septembre 2019)

La liste adoptée par la CNIL se présente sous forme de tableau et comporte 12 types d’opérations  de traitement pour lesquelles elle n’estime pas obligatoire de réaliser une analyse d’impact relative à la protection des données :

> consulter le tableau : Délibération n° 2019-118 du 12 septembre 2019 portant adoption de la liste des types d'opérations de traitement pour lesquelles une analyse d'impact relative à la protection des n'est pas requise

On notera que les catégories d’opérations répertoriées concernent les fonctions RH, les services de comptabilité  (relations fournisseurs), et certains professionnels (santé, avocats, notaires, greffiers, collectivités territoriales.. .)

Même dispensées d’AIPD, les opérations de traitement demeurent naturellement soumises aux autres obligations requises par le RGPD.

> Pour en savoir plus, nous vous invitons à consulter le site de la CNIL