Analyse d’Impact : avis de l’EDPB sur les propositions des Etats

Analyse d'impactLe CEPD a publié son avis sur 22 projets de listes de traitements soumis à analyse d’impact élaborées par certaines autorités de contrôle européennes.

Les autorités de contrôle doivent établir une liste des traitements soumis à analyse d’impact sur la protection des données (« analyse d’impact ») (Art. 35, (4) du RGPD).

Cette liste doit ensuite être communiquée au Comité Européen de la Protection des données (CEPD/EDPB) à des fins d’harmonisation afin d’assurer une application cohérente du Règlement 2016/679 dit « RGPD » (1).

Le CEPD/EDPB vient de rendre son avis sur les listes de 22 autorités de protection des données (Art. 64, (1) du RGPD).

Ces avis se décomposent en deux parties :

  • d’abord une série de recommandations communes ;
  • puis des remarques spécifiques adressées à chaque autorité de contrôle.

Analyse d’impact : les préconisations communes à l’ensemble des listes

L’EDPB laisse une marge de manœuvre aux autorités de protection pour l’établissement de leur liste. L’idée de l’EDPB est de permettre la prise en compte des spécificités issues des règlementations nationales.

Cette faculté permettrait ainsi à la Cnil de prévoir que le traitement du NIR est un critère susceptible de nécessiter la réalisation d’une analyse d’impact.

Pour assurer une application cohérente du RGPD, l’EDPB entend imposer aux autorités de protection des données :

  • d’inclure dans leur liste certains traitements (2) ;
  • et d’en exclure d’autres.

Par ailleurs, l’EDPB souhaite que les autorités précisent de manière explicite que leur liste est basée sur les critères identifiés par le G29 dans ses lignes directrices sur l’analyse d’impact.

Enfin, l’EDPB souhaite que les autorités de contrôle mentionnent le fait que leur liste n’est pas exhaustive.

Analyse d’impact : les remarques spécifiques au projet de liste réalisé par la Cnil

La Cnil n’a pas publié de projet de liste de traitements pour lesquels la réalisation d’une analyse d’impact serait requise en France.

De ce fait, l’avis de l’EDPB est particulièrement intéressant puisqu’il permet de déduire des informations concernant le contenu de cette liste (3).

Les principales observations de l’EDPB concernant la liste de la Cnil portent sur les éléments suivants :

Les traitements comportant des données biométriques et génétiques

Pour les traitements qui impliquent de telles données, le projet de liste de la Cnil impose la réalisation systématique d’une analyse d’impact.

L’EDPB souhaite quant à lui la présence d’au moins un autre des critères dégagés par le G29 dans les lignes directrices précitées (4).

Les traitements de données de localisation

Les listes proposées par les autorités de protection des données exigent de manière récurrente la réalisation d’une analyse d’impact pour les traitements qui impliquent des données de localisation.

La Cnil n’avait apparemment pas visé ces traitements dans son projet.

Dans un souci de cohérence, l’EDPB encourage la Cnil à inclure ce type de traitement dans sa liste définitive.

Les traitements pouvant induire une surveillance des salariés

Comme la plupart des autorités, la Cnil impose la réalisation d’une analyse d’impact pour les traitements qui impliquent une surveillance systématique des salariés.

L’EDPB souhaite que la Cnil apporte des précisions sur ce point.

L’EDPB demande notamment à la Cnil de rajouter qu’une telle analyse est requise dans la mesure où deux critères dégagés par le G29 dans ses lignes directrices sont présents.

La Cnil devra par ailleurs indiquer clairement que ce type d’opération implique le traitement de données relatives à des personnes vulnérables et une surveillance systématique.

Il reste désormais à attendre la publication par la Cnil de sa liste définitive.

Aurélie Banck
Alicia Béré
Lexing Département conformité RGPD Banques et Assurances

(1) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données dit « RGPD ».

(2) Il s’agit de ceux qui reviennent de manière récurrente dans les projets de liste soumis par les différentes autorités de protection des données (APD).

(3) Opinion 9/2018 adopted on 25th September 2018 on the draft list of the competent supervisory authority of France regarding the processing operations subject to the requirement of a data protection impact assessment

(4) Les critères du G29 concerne les traitements qui impliquent/empêchent :

  • une évaluation ou une notation, y compris les activités de profilage et de prédiction ;
  • une décision automatisée avec effet juridique ou effet similaire significatif ;
  • une surveillance systématique des personnes concernées ;
  • la gestion des catégories particulières de données, des données relatives à des condamnations pénales et à des infractions ou des données hautement personnelles (telles que les données financières) ;
  • le traitement des données à grande échelle ;
  • le croisement ou combinaison d’ensembles de données ;
  • le traitement des données relatives à des personnes vulnérables ;
  • une utilisation innovante ou l’application de nouvelles solutions technologiques ou organisationnelles ;
  • l’exercice par les personnes concernées d’un droit ou du bénéfice d’un service ou d’un contrat.