Les opérations de traitement soumises à une analyse d’impact

La Cnil a publié la liste des opérations de traitement soumises à analyse de l’impact relative à la protection des données. Quoique non exhaustive, elle peut orienter les responsables de traitements dans leurs décisions.

L’article 35 du Règlement (UE) 2016/679 dit RGPD (1) prévoit que les traitements susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques doivent, avant leur mise en œuvre, faire l’objet d’une analyse de l’impact sur la protection des données à caractère personnel.

En outre, le même article précise que l’autorité de contrôle peut établir et publier une liste types d’opérations de traitement pour lesquelles aucune analyse d’impact relative à la protection des données n’est requise.

Les lignes directrices concernant l’analyse d’impact relative à la protection des données

Le 4 octobre 2017, le Groupe de travail de l’article 29 sur la protection des données a publié les lignes directrices concernant l’analyse d’impact relative à la protection des données (2). Elles définissent neuf critères pour apprécier les opérations de traitement qui nécessitent une telle analyse :

• l’évaluation ou la notation, y compris les activités de profilage et de prédiction ;
• la prise de décisions automatisée avec effet juridique ou effet similaire significatif ;
• la surveillance systématique comme les traitements utilisés pour observer, surveiller ou contrôler les personnes concernées, y compris la collecte de données via des réseaux ou par la surveillance systématique d’une zone accessible au public ;
• les données sensibles ou données à caractère hautement personnel :
  • données visées à l’article 9 du RGPD,
  • ainsi que les données relatives aux condamnations pénales ou aux infractions visées à l’article 10 du RGPD ;
• les données traitées à grande échelle ;
• le croisement ou la combinaison d’ensembles de données ;
• les données concernant des personnes vulnérables ;
• l’utilisation innovante ou l’application de nouvelles solutions technologiques ou organisationnelles ;
• les traitements en eux-mêmes qui empêchent les personnes concernées d’exercer un droit ou de bénéficier d’un service ou d’un contrat.

Critères déterminants

Dans la plupart des cas, un traitement satisfaisant deux de ces critères nécessite une analyse d’impact. Le responsable du traitement doit donc réaliser une telle analyse.

C’est ainsi que le 11 octobre 2018, après avis du Comité européen de la protection des données (CEPD/EDPB) :

• les lignes directrices pour les analyses d’impact relatives à la protection des données (AIPD) prévues par le RGPD ont été adoptées (3), ainsi que
• la liste des types d’opérations de traitement pour lesquelles cette analyse d’impact est requise (4).

La liste des types d’opérations de traitement nécessitant une analyse d’impact

Ainsi, la Cnil considère que les opérations de traitement suivantes présentent un risque élevé pour les droits des personnes :

• données de santé traitées par les établissements de santé ou médico-sociaux pour la prise en charge des personnes ;
• données génétiques de personnes dites « vulnérables » (patients, employés, enfants, etc.) ;
• profils de personnes physiques à des fins de gestion des ressources humaines ;
• traitements ayant pour finalité :
  • la surveillance, de manière constante, de l’activité des employés concernés ;
  • la gestion des alertes et des signalements en matière sociale et sanitaire ;
  • la gestion des alertes et des signalements en matière professionnelle ;
  • ainsi que l’accompagnement social ou médico-social des personnes ;
• données de santé nécessaires à la constitution d’un entrepôt de données, par exemple :
  • les datawarehouse ou data Lake ou encore
  • ainsi que les registres ;
• profilage des personnes pouvant aboutir à leur exclusion du bénéfice d’un contrat ou à la suspension de celui-ci ;
• traitements mutualisés de manquements contractuels constatés, susceptibles d’aboutir à une décision d’exclusion ou de suspension du bénéfice d’un contrat ;
• profilage faisant appel à des données provenant de sources externes ;
• données biométriques de reconnaissance des personnes, parmi lesquelles figurent des personnes dites « vulnérables » :
  • élèves, personnes âgées, patients, demandeurs d’asile, etc. ;
• instruction des demandes et la gestion des logements sociaux ;
• données de localisation à large échelle.

Même si cette liste ne présente pas de caractère exhaustif, les responsables de traitement doivent néanmoins en tenir compte.

Anthony Coquer
Lexing Sécurité & Organisation

Notes

(1) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
(2) Lignes directrices sur les études d’impact vie privée (AIPD) du groupe de l’article 29 (G29) devenu le Comité européen de la protection des données (CEPD/EDPB) (WP 248 du 4 avril 2017, révisées le 4 octobre 2017) .
(3) Délibération Cnil n° 2018-326 du 11 octobre 2018 portant adoption de lignes directrices sur les analyses d’impact relatives à la protection des données (AIPD) prévues par le règlement général sur la protection des données (RGPD).
(4) Délibération Cnil n° 2018-327 du 11 octobre 2018 portant adoption de la liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise.