Home / Publications / Analyse d’impact relative à la protection des données...

Analyse d’impact relative à la protection des données : publication de la liste des traitements soumis à analyse obligatoire

Lettre Propriétés intellectuelles | Janvier 2019

31/01/2019

Par deux délibérations n° 2018-326 et 2018-327 du 11 octobre 2018, la Commission nationale de l’informatique et des libertés (CNIL) a publié ses lignes directrices en matière d’analyse d’impact relative à la protection des données (AIPD) ou plus communément appelée Privacy Impact Assessment (PIA) ainsi que la liste des traitements pour lesquels une AIPD est obligatoire.

Dans le cadre de la mise en œuvre du principe d’accountability (responsabilité) pesant sur les responsables de traitements, l’article 35-1 du règlement 2016/679 du 27 avril 2016 (RGPD) impose la réalisation d’une AIPD lorsqu’un traitement de données à caractère personnel est "susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques". En cas de manquement à ces dispositions, le responsable de traitement encourt une amende pouvant s’élever jusqu’à 10 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial.

Neuf critères d’identification des traitements "susceptibles d’engendrer un risque élevé" ont été identifiés dans les lignes directrices du Comité européen à la protection des données (CEPD), notamment les traitements de données sensibles, les croisements ou combinaisons de données et l’évaluation ou scoring.

En publiant ses propres lignes directrices, la CNIL vient préciser :

  • le périmètre de l’obligation d’effectuer une AIPD ;
  • les conditions de réalisation de celle-ci ;
  • les cas dans lesquels une AIPD doit lui être transmise.

La CNIL considère notamment qu'un traitement qui répond au moins à deux des critères des lignes directrices du CEPD doit faire l'objet d'une AIPD, sauf si ce traitement ne présente en réalité pas de "risque élevé". En l’absence d’un tel risque, la décision de ne pas recourir à une AIPD devra être justifiée et documentée par le responsable de traitement.

La CNIL vient également préciser les conditions de réalisation d’une AIPD. Elle estime que la méthode de l’AIPD doit respecter les critères énoncés par le CEPD et rappelle que sa réalisation doit impliquer l'ensemble des acteurs du traitement considéré.

Lorsqu’une AIPD fait apparaître des risques résiduels élevés malgré les mesures envisagées par le responsable de traitement, elle devra être transmise à la CNIL. Si le responsable de traitement respecte un référentiel donné, la CNIL considère qu’il n’y a pas de risques résiduels élevés, toutefois les traitements s'en écartant devront conduire le responsable de traitement concerné à s’interroger sur le niveau de risque résiduel et la transmission de l’AIPD à la CNIL.  

Enfin, en application de l’article 35-4 du RGPD, la CNIL vient clarifier le champ d’application de l’AIPD, en listant les catégories de traitements pour lesquelles elle estime qu’une AIPD est obligatoire.

Cette liste, qui sera régulièrement revue par la CNIL, comporte quatorze types d’opérations de traitement prenant en compte les critères des lignes directrices du CEPD, et notamment :  

  • les traitements établissant des profils de personnes physiques à des fins de gestion des ressources humaines ;
  • les traitements destinés à surveiller de manière constante l’activité des employés concernés ;
  • les traitements  ayant pour finalité la gestion des alertes et des signalements en matière professionnelle ;
  • les traitements impliquant un profilage des personnes pouvant aboutir à leur exclusion du bénéfice d’un contrat ou à la suspension, voire à la rupture, de celui-ci ;
  • les traitements de profilage faisant appel à des données provenant de sources externes ;
  • les traitements de données de localisation à large échelle.

La liste adoptée par la CNIL n’est pas exhaustive et tous les traitements susceptibles d’engendrer un risque élevé devront faire l’objet d’une AIPD.

Dans le prolongement de ces délibérations, la CNIL adoptera prochainement la liste des traitements pour lesquels aucune AIPD n’est requise en application de l’article 35.5° du RGPD.


En savoir plus sur notre cabinet d'avocats :

Notre cabinet d'avocats est l’un des principaux cabinets d’avocats d’affaires internationaux. Son enracinement local, son positionnement unique et son expertise reconnue lui permettent de fournir des solutions innovantes et à haute valeur ajoutée dans tous les domaines du droit.

A propos de notre cabinet d'avocats

Expertise : Droit de la propriété intellectuelle

Publication : Lettre Propriétés intellectuelles

Auteurs

Anne Laure Villedieu
Anne-Laure Villedieu
Associée
Paris
Maxime Hanriot
Maxime Hanriot
Avocat
Paris