La CNIL a adopté sa liste définitive des traitements pour lesquels une analyse d’impact relative à la protection des données est requise. L’autorité française avait déjà soumis un projet au Comité européen de la protection des données.
Elle a également publié ses lignes directrices relatives aux AIPD pour préciser :
- Le périmètre de l’obligation d’effectuer une AIPD ;
- Les conditions de réalisation de l’AIPD ;
- Les cas dans lesquels une AIPD doit lui être transmise.
Rappel de la position du CEPD
Au-delà de ces trois traitements, le CEPD a identifié neuf critères permettant de caractériser un traitement susceptible d’engendrer un risque élevé :
- Données traitées à grande échelle ;
- Données sensibles (origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, données génétiques ou de santé, données biométriques et données concernant la vie ou l’orientation sexuelle) ou données à caractère hautement personnel (données relatives à des communications électroniques, données de localisation, données financières, etc.) ;
- Données concernant des personnes vulnérables (patients, personnes âgées, enfants, etc.) ;
- Croisement ou combinaison de données ;
- Évaluation scoring (y compris le profilage) ;
- Prise de décision automatisée avec un effet juridique ou similaire ;
- Surveillance systématique de personnes ;
- Traitement pouvant exclure du bénéfice d’un droit, d’un service ou d’un contrat ;
- Utilisation innovante ou application de nouvelles solutions technologiques ou organisationnelles.
La CNIL considère qu’en principe, un traitement qui rencontre au moins deux des critères mentionnés ci-dessus doit faire l’objet d’une AIPD.
Les traitements pour lesquels une AIPD n’est pas requises, selon la CNIL
Elle a aussi énuméré les traitements qui ne sont pas soumis à une AIPD :
- Sauf disposition légale contraire, ne sont pas non plus soumis à AIPD les traitements répondant au respect d’une obligation légale à laquelle le responsable de traitement est soumis, ou nécessaires à l’exercice d’une mission de service public confié au responsable de traitement, lorsque ces traitements ont une base juridique dans le droit national ou de l’Union européenne, que ce droit les réglemente, et qu’une AIPD a déjà été menée lors de l’adoption de cette base juridique ;
- Lorsque la nature, la portée, le contexte et les finalités des traitements envisagés sont très similaires à un traitement pour lequel une AIPD a déjà été menée par le responsable de traitement ou par un tiers (autorités ou organismes publics, regroupement de responsables de traitement, etc.) ; dans ce cas, les résultats de l’AIPD déjà menée peuvent être réutilisés.
La liste des traitements pour lesquels une AIPD est requise
La liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise :
- Traitements de données de santé mis en œuvre par les établissements de santé ou les établissements médico-sociaux pour la prise en charge des personnes ;
- Traitements portant sur des données génétiques de personnes dites « vulnérables » (patients,employés, enfants, etc.) ;
- Traitements établissant des profils de personnes physiques à des fins de gestion des ressources humaines ;
- Traitements ayant pour finalité de surveiller de manière constante l’activité des employés concernés ;
- Traitements ayant pour finalité la gestion des alertes et des signalements en matière sociale et sanitaire ;
- Traitements ayant pour finalité la gestion des alertes et des signalements en matière professionnelle ;
- Traitements des données de santé nécessaires à la constitution d’un entrepôt de données ou d’un registre ;
- Traitements impliquant le profilage des personnes pouvant aboutir à leur exclusion du bénéfice d’un contrat ou à la suspension voire à la rupture de celui-ci ;
- Traitements mutualisés de manquements contractuels constatés, susceptibles d’aboutir à une décision d’exclusion ou de suspension du bénéfice d’un contrat ;
- Traitements de profilage faisant appel à des données provenant de sources externes ;
- Traitements de données biométriques aux fins de reconnaissance des personnes parmi lesquelles figurent des personnes dites « vulnérables » (élèves, personnes âgées, patients, demandeurs d’asile, etc.) ;
- Instruction des demandes et gestion des logements sociaux ;
- Traitements ayant pour finalité l’accompagnement social ou médico-social des personnes ;
- Traitements de données de localisation à large échelle.