le 21/11/2019

Précision de la CNIL sur les traitements ne nécessitant pas d’étude d’impact préalable

Délibération n° 2019-118 du 12 septembre 2019 portant adoption de la liste des types d'opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données n'est pas requise

Par une délibération n° 2019-118 en date du 12 septembre 2019, la CNIL a adopté une liste définitive de douze types d’opérations de traitement ne nécessitant pas l’élaboration d’une étude d’impact préalable, conformément aux dispositions de l’article 35.5 du RGPD. De plus, conformément à cet article, le projet de liste établi par la CNIL a été communiqué au Comité européen de la protection des données (anciennement dénommé le G 29) qui a adopté un avis sur ce projet le 10 juillet 2019.

Ainsi, la CNIL estime que sont exonérés d’étude d’impact préalable notamment :

  • Les traitements mis en œuvre dans les conditions prévues par les textes relatifs à la gestion du fichier électoral des communes ;
  • Les traitements mis en œuvre par une association, une fondation ou toute autre institution sans but lucratif pour la gestion de ses membres et de ses donateurs dans le cadre de ses activités habituelles dès lors que les données ne sont pas sensibles ;
  • Les traitements mis en œuvre par les collectivités territoriales et les personnes morales de droit public et de droit privé aux fins de gérer les services en matière d’affaires scolaires, périscolaires et de la petite enfance ;
  • Les traitements mis en œuvre aux seules fins de gestion des contrôles d’accès physiques et des horaires pour le calcul du temps de travail, en dehors de tout dispositif biométrique.


Dans cette délibération, la CNIL rappelle également que « si la présence d’une opération de traitement sur la présente liste dispense de réaliser une analyse d’impact, le responsable de traitement reste soumis à l’ensemble des autres obligations qui lui incombent en application du RGPD et de la loi du 6 janvier 1978. Notamment, le fait qu’une activité de traitement relève de cette liste ne signifie pas qu’un responsable de traitement est exempté des obligations énoncées à l’article 32 du RGPD en matière de sécurité du traitement ».

Enfin, la CNIL rappelle dans son communiqué que cette liste n’est pas exhaustive. En effet, des traitements qui ne figurent pas sur cette liste peuvent ne pas nécessiter l’élaboration d’une étude d’impact préalable. Tel est le cas des traitements de données « qui ne présentent pas de risque élevé pour les droits et libertés des personnes physiques car ils ne répondent à aucun des critères issus des lignes directrices du G29 ».