En date du 12 septembre 2019 , La CNIL a adopté sa liste définitive des traitements pour lesquels une analyse d’impact relative à la protection des données n’est pas obligatoire, après l’avoir soumis pour avis au Comité européen de la protection des données (CEPD), chargé de veiller à l’application cohérente du RGPD dans tous les Etats membres. Cette liste comporte douze types d’opérations de traitement, et se décline de la manière suivante :
- Traitements mis en œuvre dans le cadre des ressources humaines (ex. gestion des salaire, contrôle du temps de travail ,etc.) ;
- Traitements de gestion de la relation fournisseurs ;(ex. gestion administrative, sélection de fournisseurs) ;
- Traitements mis en œuvre dans les conditions prévues par les textes relatifs à la gestion du fichier électoral des communes ;(ex. gestion des demandes d’inscription) ;
- Traitements destinés à la gestion des activités des comités d’entreprise et d’établissement (ex. gestion des programme socio-culturel, gestion des membres) ;
- Traitements mis en œuvre par une association, une fondation ou toute autre institution sans but lucratif pour la gestion de ses membres et de ses donateurs dans le cadre de ses activités habituelles dès lors que les données ne sont pas sensibles ;(ex. gestion des membres) ;
- Traitements de données de santé nécessaires à la prise en charge d’un patient par un professionnel de santé exerçant à titre individuel au sein d’un cabinet médical, d’une officine de pharmacie ou d’un laboratoire de biologie médicale (ex. gestion de rendez-vous, édition des ordonnance) ;
- Traitements mis en œuvre par les avocats dans le cadre de l’exercice de leur profession à titre individuel ;(ex. gestion des clients) ;
- Traitements mis en œuvre par les greffiers des tribunaux de commerce aux fins d’exercice de leur activité ;(ex. contrôle de la légalité des actes) ;
- Traitements mis en œuvre par les notaires aux fins d’exercice de leur activité notariale et de rédaction des documents des offices notariaux ;(ex. conservation pour le compte de client) ;
- Traitements mis en œuvre par les collectivités territoriales et les personnes morales de droit public et de droit privé aux fins de gérer les services en matière d’affaires scolaires, périscolaires et de la petite enfance ;(ex. gestion administrative et comptable, recensement des enfants) ;
- Traitements mis en œuvre aux seules fins de gestion des contrôles d’accès physiques et des horaires pour le calcul du temps de travail, en dehors de tout dispositif biométrique ;(ex. badge sans biométrie) ; et
- Traitements relatifs aux éthylotests, strictement encadrés par un texte et mis en œuvre dans le cadre d’activités de transport aux seules fins d’empêcher les conducteurs de conduire un véhicule sous l’influence de l’alcool ou de stupéfiants. (ex. éthylotest embarqué dans les véhicules de transport routier) Notons que cette liste n’est pas exhaustive. Tout traitement ne présentant pas un risque élevé pour les droits et libertés des personnes physiques concernées ou ne répondant pas aux critères des lignes directrices du “groupe de l’article 29” ne nécessitent pas une analyse d’impact.