Délibération n° 2018-327 du 11 octobre 2018 portant adoption de la liste des types d'opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données est requise

Date de signature :11/10/2018 Statut du texte :En vigueur
Date de publication :06/11/2018 Emetteur :Commission nationale de l'informatique et des libertés
Consolidée le : Source :JO du 6 novembre 2018
Date d'entrée en vigueur :07/11/2018
Délibération n° 2018-327 du 11 octobre 2018 portant adoption de la liste des types d'opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données est requise 


NOR: CNIL1829647X
ELI: Non disponible


La Commission nationale de l'informatique et des libertés,


Après avoir entendu les observations de Mme Nacima BELKACEM, commissaire du Gouvernement,
Formule les observations suivantes :
L'article 35.1 du Règlement général relatif à la protection des données (RGPD) prévoit qu'une analyse d'impact relative à la protection des données (AIPD) doit être menée quand un traitement est « susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées ».
L'article 35.3 du RGPD énonce trois types de traitements susceptibles de présenter un risque élevé. Le Comité européen de la protection des données (CEPD) a lui-même identifié neuf critères permettant de caractériser un traitement susceptible d'engendrer un risque élevé.
L'article 35.4 du RGPD impose aux autorités de contrôle d'établir et de publier une liste des types d'opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données est requise.
L'article 35.6 du RGPD prévoit que, lorsque cette liste concerne des « activités de traitements liées à l'offre de biens ou de services à des personnes concernées ou au suivi de leur comportement dans plusieurs Etats membres, ou peuvent affecter sensiblement la libre circulation des données à caractère personnel au sein de l'Union », elle doit être soumise au mécanisme de « contrôle de la cohérence » et doit être communiquée au Comité européen de la protection des données (CEPD).
Le 14 juin 2018, un projet de liste a été adopté par la commission et soumis au CEPD le 6 juillet 2018. Le CEPD a adopté un avis relatif à ce projet le 25 septembre 2018, qui a été notifié à la commission le 2 octobre 2018.
Décide :
De l'adoption de la liste annexée à la présente délibération portant sur les types d'opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données est requise.
Cette liste a un caractère non-exhaustif. Conformément à l'article 35.1 du RGPD, une AIPD devra être réalisée dès lors que le traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques.
Cette liste est basée sur les lignes directrices du CEPD relatives à l'analyse d'impact relative à la protection des données (AIPD) qu'elle vient compléter et préciser pour des traitements spécifiques.
La présente délibération sera publiée au Journal officiel de la République française.

La présidente,
I. Falque-Pierrotin

ANNEXE
LISTE DES TYPES D'OPÉRATIONS DE TRAITEMENT POUR LESQUELLES UNE ANALYSE D'IMPACT RELATIVE À LA PROTECTION DES DONNÉES EST REQUISE

 


Types d'opérations de traitement

Critères issus des lignes directrices du CEPD qu'ils remplissent

Traitements de données de santé mis en œuvre par les établissements de santé ou les établissements médico-sociaux pour la prise en charge des personnes

- collecte de données sensibles
- personnes dites « vulnérables »

Traitements portant sur des données génétiques de personnes dites « vulnérables » (patients, employés, enfants, etc.)

- collecte de données sensibles
- personnes dites « vulnérables »

Traitements établissant des profils de personnes physiques à des fins de gestion des ressources humaines

- évaluation ou notation
- personnes dites « vulnérables »

Traitements ayant pour finalité de surveiller de manière constante l'activité des employés concernés

- personnes dites « vulnérables »
- surveillance systématique

Traitements ayant pour finalité la gestion des alertes et des signalements en matière sociale et sanitaire

- personnes dites « vulnérables »
- évaluation ou notation
- collecte de données sensibles

Traitements ayant pour finalité la gestion des alertes et des signalements en matière professionnelle

- personnes dites « vulnérables »
- évaluation ou notation
- collecte de données sensibles

Traitements des données de santé nécessaires à la constitution d'un entrepôt de données ou d'un registre

- collecte de données sensibles
- personnes dites « vulnérables »

Traitements impliquant le profilage des personnes pouvant aboutir à leur exclusion du bénéfice d'un contrat ou à la suspension voire à la rupture de celui-ci

- évaluation ou notation
- croisement ou combinaison d'ensembles de données

Traitements mutualisés de manquements contractuels constatés, susceptibles d'aboutir à une décision d'exclusion ou de suspension du bénéfice d'un contrat

- croisement ou combinaison d'ensembles de données
- prise de décision automatisée avec effet juridique ou effet similaire significatif

Traitements de profilage faisant appel à des données provenant de sources externes

- évaluation ou notation
- croisement ou combinaison d'ensembles de données

Traitements de données biométriques aux fins de reconnaissance des personnes parmi lesquelles figurent des personnes dites « vulnérables » (élèves, personnes âgées, patients, demandeurs d'asile, etc.)

- collecte de données sensibles
- personnes dites « vulnérables »

Instruction des demandes et gestion des logements sociaux

- collecte de données sensibles
- évaluation ou notation

Traitements ayant pour finalité l'accompagnement social ou médico-social des personnes

- collecte de données sensibles
- évaluation ou notation
- personnes dites « vulnérables »

Traitements de données de localisation à large échelle

- collecte de données sensibles
- données traitées à grande échelle


Source Légifrance