Pour gérer vos consentements :

RGPD : la Cnil spécifie les traitements de données dispensés d’analyse d’impact

Avocat, responsable RH ou médecin libéral ? Vous faites partie des professions susceptibles de bénéficier d’une dispense d’AIPD.

Le RGPD impose de réaliser ces « analyses d’impact relatives à la protection des données » dans le cadre de la mise en œuvre de certains traitements. En l’occurrence, ceux qui présentent un risque élevé pour les droits et libertés des personnes physiques.

Le périmètre de cette obligation est défini en partie dans le règlement.
Des lignes directrices ont été adoptées en complément au niveau européen, par les autorités nationales de protection des données, sur la base de 9 critères.

La Cnil considère que de manière générale, un traitement qui rencontre au moins deux de ces critères doit faire l’objet d’une AIPD.

En application de l’article 35.4 du RGPD, la commission a établi sa propre liste, publiée en novembre 2018. Y figurent 14 types d’opérations de traitement, dans des domaines comme la santé, les RH et la publicité.

RH : les PME dispensées

L’article 35.5 donne la possibilité de définir une autre liste regroupant a contrario les traitements pour lesquels une AIPD n’est pas requise.

La Cnil en a récemment adopté une, publiée au Journal officiel du 22 octobre 2019.
Y sont répertoriés 12 types d’opérations de traitement. Parmi elles, la gestion :

  • des RH (à l’exception du profilage) dans les organismes qui emploient moins de 250 personnes ;
  • de la relation fournisseurs ;
  • du fichier électoral des communes ;
  • des activités des comités d’entreprise et d’établissement ;
  • des membres et des donateurs dans les institutions sans but lucratif (« dans le cadre de leurs activités habituelles dès lors que les données ne sont pas sensibles »).

Les exemptions visent aussi à faciliter l’exercice de certains métiers :

  • les professionnels de santé à titre individuel, à travers les traitements de données de santé nécessaires à la prise en charge de patients ;
  • les avocats, à titre individuel également ;
  • les greffiers des tribunaux de commerce ;
  • les notaires (incluant la rédaction des documents des offices notariaux).

La Cnil inclut aussi :

  • pour les collectivités territoriales notamment, la gestion des services en matière d’affaires scolaires, périscolaires et de la petite enfance ;
  • la gestion des contrôles d’accès physiques et des horaires pour le calcul de temps de travail (en dehors de tout dispositif biométrique et à l’exclusion des traitements qui révèlent « des données sensibles à caractère hautement personnel ») ;
  • les traitements relatifs aux éthylotests « aux seules fins d’empêcher [la conduite] sous l’influence de l’alcool ou de stupéfiants ».

Photo d’illustration © portalgdaviaVisualhunt / CC BY-NC-SA

Recent Posts

Gestion des API : un enchevêtrement qui peut coûter cher

Une entreprise fait appel, en moyenne, à trois fournisseurs de solutions de gestion d'interfaces de…

1 jour ago

Chargeur universel : l’UE passe vraiment à l’action

L'Union européenne a lancé une procédure d'amendement de la directive sur les équipements radioélectriques. En…

1 jour ago

Accenture prévoit jusqu’à 15% de croissance pour 2022

Porté par la demande de conseil cloud de grands comptes, le groupe Accenture, solide en…

1 jour ago

Gartner : les « technologues d’entreprise » gagnent du terrain

Nombre de projets technologiques sont dorénavant créés et déployés par des utilisateurs métiers et techniques…

2 jours ago

Doctrine cloud : les concessions de l’État face à Office 365

La DINUM rappelle la non-conformité d'Office 365 avec la politique « cloud au centre ».…

2 jours ago

Sécurité OT : Siemens et Zscaler adaptent le Zero Trust

Siemens et l'éditeur de sécurité cloud Zscaler déploient leur partenariat dans l'accès "zero trust" aux…

3 jours ago