le 22/11/2018

La CNIL adopte ses lignes directrices en matière d’analyse d’impact

Délibération n° 2018-327 du 11 octobre 2018 portant adoption de la liste des types d'opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données est requise

Délibération n° 2018-326 du 11 octobre 2018 portant adoption de lignes directrices sur les analyses d’impact relatives à la protection des données (AIPD) prévues par le règlement général sur la protection des données (RGPD)

Le 6 novembre 2018, la Commission Nationale de l’Informatique et des Libertés (CNIL) a publié deux nouvelles délibérations en matière d’analyse d’impact.

La première est relative aux obligations issues de l’article 35.4 du règlement général sur la protection des données (ci-après « RGPD »). Ce considérant imposait à la CNIL de publier une liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données était systématiquement requise.

Ces traitements sont les suivants :

  • traitements de données de santé mis en œuvre par les établissements de santé ou les établissements médico-sociaux pour la prise en charge des personnes ;
  • traitements portant sur des données génétiques de personnes dites « vulnérables » (patients, employés, enfants, etc.) ;
  • traitements établissant des profils de personnes physiques à des fins de gestion des ressources humaines ;
  • traitements ayant pour finalité de surveiller de manière constante l’activité des employés concernés ;
  • traitements ayant pour finalité la gestion des alertes et des signalements en matière sociale et sanitaire ;
  • traitements ayant pour finalité la gestion des alertes et des signalements en matière professionnelle ;
  • traitements des données de santé nécessaires à la constitution d’un entrepôt de données ou d’un registre ;
  • traitements impliquant le profilage des personnes pouvant aboutir à leur exclusion du bénéfice d’un contrat ou à la suspension voire à la rupture de celui-ci ;
  • traitements mutualisés de manquements contractuels constatés, susceptibles d’aboutir à une décision d’exclusion ou de suspension du bénéfice d’un contrat ;
  • traitements de profilage faisant appel à des données provenant de sources externes ;
  • traitements de données biométriques aux fins de reconnaissance des personnes parmi lesquelles figurent des personnes dites « vulnérables » (élèves, personnes âgées, patients, demandeurs d’asile, etc.) ;
  • instruction des demandes et gestion des logements sociaux ;
  • traitements ayant pour finalité l’accompagnement social ou médico-social des personnes ;
  • traitements de données de localisation à large échelle.

Si votre traitement est présent dans la liste ci-dessus, celui-ci nécessitera la mise en œuvre d’une analyse d’impact quel que soit le degré de risque que celui-ci fait courir aux personnes physiques dont les données sont collectées. On peut notamment relever que l’instruction des demandes et la gestion des logements sociaux fait partie des traitements soumis à étude d’impact sur la vie privée, ce qui va avoir de lourdes répercutions sur l’ensemble des bailleurs sociaux. Cependant, et pour rappel, la CNIL a établi une dispense d’obligation de réaliser une analyse d’impact pour les traitements existants et régulièrement mis en œuvre, et ce pour une période de 3 ans.

Le Comité européen de la protection des données (CEPD) a validé cette liste, tout comme celles de 22 autres autorités nationales, afin que s’applique uniformément le droit des données à caractère personnel au sein de l’Union européenne.

A côté de cela, il importe au responsable de traitement de rester attentif lorsque son traitement ne fait pas partie des quatorze mentionnés. En effet, comme la CNIL l’indique elle-même, cette liste n’est pas exhaustive : un traitement qui n’y figure pas peut toujours faire l’objet d’une analyse d’impact. C’est le cas des traitements susceptibles d’engendrer un risque élevé pour « les droits et libertés des personnes physiques » au regard des neuf critères issus des lignes directrices du G29.

La deuxième est relative aux lignes directrices sur les analyses d’impact relatives à la protection des données (AIPD) prévues par le règlement général sur la protection des données (RGPD). Les lignes directrices publiées par la CNIL sont la synthèse entre les différentes dispositions prévues au sein du RGPD et les prises de positions de la CNIL en matière d’analyse d’impact (les personnes impliquées dans la réalisation d’une AIPD par exemple). Ces lignes directrices ont vocation à être un outil facilitant la recherche d’informations pour le responsable de traitement et son délégué à la protection des données.

En conclusion de tout ce qui précède, en matière d’analyse d’impact, il ne reste à la CNIL que de publier la liste des traitements pour lesquels il est assuré qu’aucune analyse d’impact n’est nécessaire et ce en application de l’article 35.5 du RGPD.