Conformément à l’article 35.4 du RGPD, la CNPD a élaboré une liste de traitements pour lesquels une analyse d’impact sur la protection des données (AIPD – DPIA en anglais) est obligatoire.
Voici cette liste :
Les opérations de traitement portant sur des données génétiques telles que définies à l’article 4 (13) du RGPD, en combinaison avec au moins un autre critère figurant dans les lignes directrices du Comité européen de la protection des données (ci-après : CEPD »),[1] à l’exception des professionnels de santé qui fournissent des services de santé ;
- Les opérations de traitement qui incluent des données biométriques aux fins d’identification des personnes concernées en combinaison avec au moins un autre critère des lignes directrices du CEPD ;
- Les opérations de traitement impliquant la combinaison, la correspondance ou la comparaison de données à caractère personnel collectées à partir d’opérations de traitement ayant des finalités différentes (provenant du même ou de différents responsables du traitement) – à condition qu’elles produisent des effets juridiques à l’égard de la personne physique ou aient une incidence significative et similaire sur la personne physique ;
- Les opérations de traitement qui consistent en ou qui comprennent un contrôle régulier et systématique des activités des employés – à condition qu’elles puissent produire des effets juridiques à l’égard des employés ou les affecter de manière aussi significative ;
- Les opérations de traitement de fichiers susceptibles de contenir des données à caractère personnel de l’ensemble de la population nationale, à condition qu’une telle DPIA n’ait pas déjà été réalisée dans le cadre d’une analyse d’impact générale dans le contexte de l’adoption de cette base juridique ;
- Les opérations de traitement à des fins de recherche scientifique ou historique ou à des fins statistiques au sens des articles 63 à 65 de la loi du 1er août 2018 portant organisation de la Commission nationale pour la protection des données et du régime général sur la protection des données ;
- Les opérations de traitement qui consistent en un suivi systématique de la localisation de personnes physiques ;
- Les opérations de traitement reposant sur la collecte indirecte de données à caractère personnel en conjonction avec au moins un autre critère des lignes directrices du CEPD lorsqu’il n’est ni possible / ni réalisable de garantir le droit à l’information.