Les opérations de traitement soumises à une analyse d’impact

opérations de traitement

La liste des opérations de traitement soumises à analyse de l’impact relative à la protection des données est publiée.

L’article 35 du Règlement (UE) 2016/679 dit RGPD (1) prévoit que les traitements susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques doivent, avant leur mise en œuvre, faire l’objet d’une analyse de l’impact sur la protection des données à caractère personnel.

Le même article précise que l’autorité de contrôle peut établir et publier une liste des types d’opérations de traitement pour lesquelles aucune analyse d’impact relative à la protection des données n’est requise.

Les lignes directrices concernant l’analyse d’impact relative à la protection des données

Le 4 octobre 2017, le Groupe de travail de l’article 29 sur la protection des données a publié les lignes directrices concernant l’analyse d’impact relative à la protection des données (2) définissant neuf critères pour apprécier les opérations de traitement qui nécessitent une telle analyse :

  • l’évaluation ou la notation, y compris les activités de profilage et de prédiction ;
  • la prise de décisions automatisée avec effet juridique ou effet similaire significatif ;
  • la surveillance systématique comme les traitements utilisés pour observer, surveiller ou contrôler les personnes concernées, y compris la collecte de données via des réseaux ou par la surveillance systématique d’une zone accessible au public ;
  • les données sensibles ou données à caractère hautement personnel : il s’agit de catégories particulières de données à caractère personnel visées à l’article 9 du RGPD, ainsi que des données à caractère personnel relatives aux condamnations pénales ou aux infractions visées à l’article 10 du RGPD ;
  • les données traitées à grande échelle ;
  • le croisement ou la combinaison d’ensembles de données ;
  • les données concernant des personnes vulnérables ;
  • l’utilisation innovante ou l’application de nouvelles solutions technologiques ou organisationnelles ;
  • les traitements en eux-mêmes qui empêchent les personnes concernées d’exercer un droit ou de bénéficier d’un service ou d’un contrat.

Dans la plupart des cas, un traitement satisfaisant deux de ces critères nécessite une analyse d’impact.

Le 11 octobre 2018, après avis du Comité européen de la protection des données (CEPD/EDPB), les lignes directrices pour les analyses d’impact relatives à la protection des données (AIPD) prévues par le règlement général sur la protection des données (RGPD) ont été adoptées (3), ainsi que la liste des types d’opérations de traitement pour lesquelles cette analyse d’impact est requise (4).

La liste des types d’opérations de traitement pour lesquelles l’analyse d’impact est requise

Bien que cette liste ne présente pas de caractère exhaustif, elle considère que les opérations de traitement suivantes présentent un risque élevé pour les droits et libertés des personnes physiques :

  • les traitements de données de santé mis en œuvre par les établissements de santé ou les établissements médico-sociaux pour la prise en charge des personnes ;
  • les traitements portant sur des données génétiques de personnes dites « vulnérables » (patients, employés, enfants, etc.) ;
  • les traitements établissant des profils de personnes physiques à des fins de gestion des ressources humaines ;
  • les traitements ayant pour finalité la surveillance, de manière constante, de l’activité des employés concernés ;
  • les traitements ayant pour finalité la gestion des alertes et des signalements en matière sociale et sanitaire ;
  • les traitements ayant pour finalité la gestion des alertes et des signalements en matière professionnelle ;
  • les traitements des données de santé nécessaires à la constitution d’un entrepôt de données, tels que les datawarehouse ou datalake ou encore les registres ;
  • les traitements impliquant le profilage des personnes pouvant aboutir à leur exclusion du bénéfice d’un contrat ou à la suspension, voire à la rupture, de celui-ci ;
  • les traitements mutualisés de manquements contractuels constatés, susceptibles d’aboutir à une décision d’exclusion ou de suspension du bénéfice d’un contrat ;
  • les traitements de profilage faisant appel à des données provenant de sources externes ;
  • les traitements de données biométriques aux fins de reconnaissance des personnes, parmi lesquelles figurent des personnes dites « vulnérables » (élèves, personnes âgées, patients, demandeurs d’asile, etc.) ;
  • l’instruction des demandes et la gestion des logements sociaux ;
  • les traitements ayant pour finalité l’accompagnement social ou médico-social des personnes ;
  • les traitements de données de localisation à large échelle.

Anthony Coquer
Lexing Sécurité & Organisation

(1) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
(2) Lignes directrices sur les études d’impact vie privée (AIPD) du groupe de l’article 29 (G29) devenu le Comité européen de la protection des données (CEPD/EDPB) (WP 248 du 4 avril 2017, révisées le 4 octobre 2017) .
(3) Délibération Cnil n° 2018-326 du 11 octobre 2018 portant adoption de lignes directrices sur les analyses d’impact relatives à la protection des données (AIPD) prévues par le règlement général sur la protection des données (RGPD).
(4) Délibération Cnil n° 2018-327 du 11 octobre 2018 portant adoption de la liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise.