4. Risques de malveillance 
4.1. Généralités 4.1.3. Informatique et libertés
4.1. Généralités 4.1.3. Informatique et libertés
Délibération n° 2019-118 du 12 septembre 2019 portant adoption de la liste des types d'opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données n'est pas requise
| Date de signature : | 12/09/2019 | Statut du texte : | En vigueur |
| Date de publication : | 22/10/2019 | Emetteur : | Commission nationale de l'informatique et des libertés |
| Consolidée le : | Source : | JO du 22 octobre 2019 | |
| Date d'entrée en vigueur : | 23/10/2019 |
Délibération n° 2019-118 du 12 septembre 2019 portant adoption de la liste des types d'opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données n'est pas requise
NOR : CNIL1927843X
La Commission nationale de l'informatique et des libertés,
Après avoir entendu Mme Anne DEBET, commissaire en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations ;
Formule les observations suivantes :
L'article 35.1 du Règlement général relatif à la protection des données (RGPD) prévoit qu'une analyse d'impact relative à la protection des données (AIPD) doit être menée quand un traitement est « susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées ».
L'article 35.5 du RGPD permet aux autorités de contrôle d'établir et de publier une liste des types d'opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données n'est pas requise.
L'article 35.6 du RGPD prévoit que, lorsque cette liste concerne des «activités de traitements liées à l'offre de biens ou de services à des personnes concernées ou au suivi de leur comportement dans plusieurs États membres, ou peuvent affecter sensiblement la libre circulation des données à caractère personnel au sein de l'Union », elle doit être soumise au mécanisme de « contrôle de la cohérence » et doit être communiquée au Comité européen de la protection des données (CEPD).
Le 29 mars 2019, un projet de liste a été adopté par la commission et soumis au CEPD le 3 avril 2019. Le CEPD a adopté un avis relatif à ce projet le 10 juillet 2019, qui a été notifié à la commission le 12 juillet 2019.
Décide :
La liste annexée à la présente délibération, portant sur les types d'opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données n'est pas requise, est adoptée.
Cette liste vient compléter et préciser les lignes directrices adoptées par la commission le 11 octobre 2018.
Si la présence d'une opération de traitement sur la présente liste dispense de réaliser une analyse d'impact, le responsable de traitement reste soumis à l'ensemble des autres obligations qui lui incombent en application du RGPD et de la loi du 6 janvier 1978. Notamment, le fait qu'une activité de traitement relève de cette liste ne signifie pas qu'un responsable de traitement est exempté des obligations énoncées à l'article 32 du RGPD en matière de sécurité du traitement.
La présente délibération sera publiée au Journal officiel de la République française.
La présidente,
M.-L. DENIS
ANNEXE - LISTE DES TYPES D'OPÉRATIONS DE TRAITEMENT POUR LESQUELLES UNE ANALYSE D'IMPACT RELATIVE À LA PROTECTION DES DONNÉES N'EST PAS REQUISE
Source Légifrance
NOR : CNIL1927843X
La Commission nationale de l'informatique et des libertés,
- Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
- Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, notamment son article 35 ;
- Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;
- Vu le décret n° 2019-536 du 29 mai 2019 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
- Vu les lignes directrices concernant l'analyse d'impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est « susceptible d'engendrer un risque élevé » aux fins du règlement (UE) 2016/679 adoptées le 4 avril 2017 ;
- Vu l'avis 19/2019 du Comité européen de la protection des données relatif au projet de liste de l'autorité de contrôle française portant sur les types d'opération de traitements pour lesquels une analyse d'impact relative à la protection des données n'est pas requise (article 35.5 du RGPD), adopté le 10 juillet 2019 ;
Après avoir entendu Mme Anne DEBET, commissaire en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations ;
Formule les observations suivantes :
L'article 35.1 du Règlement général relatif à la protection des données (RGPD) prévoit qu'une analyse d'impact relative à la protection des données (AIPD) doit être menée quand un traitement est « susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées ».
L'article 35.5 du RGPD permet aux autorités de contrôle d'établir et de publier une liste des types d'opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données n'est pas requise.
L'article 35.6 du RGPD prévoit que, lorsque cette liste concerne des «activités de traitements liées à l'offre de biens ou de services à des personnes concernées ou au suivi de leur comportement dans plusieurs États membres, ou peuvent affecter sensiblement la libre circulation des données à caractère personnel au sein de l'Union », elle doit être soumise au mécanisme de « contrôle de la cohérence » et doit être communiquée au Comité européen de la protection des données (CEPD).
Le 29 mars 2019, un projet de liste a été adopté par la commission et soumis au CEPD le 3 avril 2019. Le CEPD a adopté un avis relatif à ce projet le 10 juillet 2019, qui a été notifié à la commission le 12 juillet 2019.
Décide :
La liste annexée à la présente délibération, portant sur les types d'opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données n'est pas requise, est adoptée.
Cette liste vient compléter et préciser les lignes directrices adoptées par la commission le 11 octobre 2018.
Si la présence d'une opération de traitement sur la présente liste dispense de réaliser une analyse d'impact, le responsable de traitement reste soumis à l'ensemble des autres obligations qui lui incombent en application du RGPD et de la loi du 6 janvier 1978. Notamment, le fait qu'une activité de traitement relève de cette liste ne signifie pas qu'un responsable de traitement est exempté des obligations énoncées à l'article 32 du RGPD en matière de sécurité du traitement.
La présente délibération sera publiée au Journal officiel de la République française.
La présidente,
M.-L. DENIS
ANNEXE - LISTE DES TYPES D'OPÉRATIONS DE TRAITEMENT POUR LESQUELLES UNE ANALYSE D'IMPACT RELATIVE À LA PROTECTION DES DONNÉES N'EST PAS REQUISE
| Types d’opérations de traitement |
| Traitements, mis en oeuvre uniquement à des fins de ressources humaines et dans les conditions prévues par les textes applicables, pour la seule gestion du personnel des organismes qui emploient moins de 250 personnes, à l'exception du recours au profilage. |
| Traitements de gestion de la relation fournisseurs. |
| Traitements mis en oeuvre dans les conditions prévues par les textes relatifs à la gestion du fichier électoral des communes. |
| Traitements destinés à la gestion des activités des Comités d'entreprise et d'établissement. |
| Traitements mis en oeuvre par une association, une fondation ou toute autre institution sans but lucratif pour la gestion de ses membres et de ses donateurs dans le cadre de ses activités habituelles dès lors que les données ne sont pas sensibles. |
| Traitements de données de santé nécessaires à la prise en charge d'un patient par un professionnel de santé exerçant à titre individuel au sein d'un cabinet médical, d'une officine de pharmacie ou d'un laboratoire de biologie médicale. |
| Traitements mis en oeuvre par les avocats dans le cadre de l'exercice de leur profession à titre individuel. |
| Traitements mis en oeuvre par les greffiers des tribunaux de commerce aux fins d'exercice de leur activité. |
| Traitements mis en oeuvre par les notaires aux fins d'exercice de leur activité notariale et de rédaction des documents des offices notariaux. |
| Traitements mis en oeuvre par les collectivités territoriales et les personnes morales de droit public et de droit privé aux fins de gérer les services en matière d'affaires scolaires, périscolaires et de la petite enfance. |
| Traitements mis en oeuvre aux seules fins de gestion des contrôles d'accès physiques et des horaires pour le calcul du temps de travail, en dehors de tout dispositif biométrique. A l'exclusion des traitements des données qui révèlent des données sensibles ou à caractère hautement personnel. |
| Traitements relatifs aux éthylotests, strictement encadrés par un texte et mis en oeuvre dans le cadre d'activités de transport aux seules fins d'empêcher les conducteurs de conduire un véhicule sous l'influence de l'alcool ou de stupéfiants. |
Source Légifrance