Délibération n° 2018-327 du 11 octobre 2018 portant adoption de la liste des types d'opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données est requise

JORF n°0256 du 6 novembre 2018
texte n° 82



Délibération n° 2018-327 du 11 octobre 2018 portant adoption de la liste des types d'opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données est requise

NOR: CNIL1829647X
ELI: Non disponible


La Commission nationale de l'informatique et des libertés,
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu le règlement (UE) 2016/679 du parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, notamment son article 35 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu les lignes directrices concernant l'analyse d'impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est « susceptible d'engendrer un risque élevé » aux fins du règlement (UE) 2016/679 adoptées le 4 avril 2017 ;
Vu l'avis 9/2018 du Comité européen de la protection des données relatif au projet de liste de l'autorité de contrôle française portant sur les types d'opération de traitements pour lesquelles une analyse d'impact relative à la protection des données (article 35.4 du RGPD), adopté le 25 septembre 2018 ;


Après avoir entendu les observations de Mme Nacima BELKACEM, commissaire du Gouvernement,
Formule les observations suivantes :
L'article 35.1 du Règlement général relatif à la protection des données (RGPD) prévoit qu'une analyse d'impact relative à la protection des données (AIPD) doit être menée quand un traitement est « susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées ».
L'article 35.3 du RGPD énonce trois types de traitements susceptibles de présenter un risque élevé. Le Comité européen de la protection des données (CEPD) a lui-même identifié neuf critères permettant de caractériser un traitement susceptible d'engendrer un risque élevé.
L'article 35.4 du RGPD impose aux autorités de contrôle d'établir et de publier une liste des types d'opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données est requise.
L'article 35.6 du RGPD prévoit que, lorsque cette liste concerne des « activités de traitements liées à l'offre de biens ou de services à des personnes concernées ou au suivi de leur comportement dans plusieurs Etats membres, ou peuvent affecter sensiblement la libre circulation des données à caractère personnel au sein de l'Union », elle doit être soumise au mécanisme de « contrôle de la cohérence » et doit être communiquée au Comité européen de la protection des données (CEPD).
Le 14 juin 2018, un projet de liste a été adopté par la commission et soumis au CEPD le 6 juillet 2018. Le CEPD a adopté un avis relatif à ce projet le 25 septembre 2018, qui a été notifié à la commission le 2 octobre 2018.
Décide :
De l'adoption de la liste annexée à la présente délibération portant sur les types d'opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données est requise.
Cette liste a un caractère non-exhaustif. Conformément à l'article 35.1 du RGPD, une AIPD devra être réalisée dès lors que le traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques.
Cette liste est basée sur les lignes directrices du CEPD relatives à l'analyse d'impact relative à la protection des données (AIPD) qu'elle vient compléter et préciser pour des traitements spécifiques.
La présente délibération sera publiée au Journal officiel de la République française.

  • Annexe


    ANNEXE
    LISTE DES TYPES D'OPÉRATIONS DE TRAITEMENT POUR LESQUELLES UNE ANALYSE D'IMPACT RELATIVE À LA PROTECTION DES DONNÉES EST REQUISE


    Types d'opérations de traitement

    Critères issus des lignes directrices du CEPD qu'ils remplissent

    Traitements de données de santé mis en œuvre par les établissements de santé ou les établissements médico-sociaux pour la prise en charge des personnes

    - collecte de données sensibles
    - personnes dites « vulnérables »

    Traitements portant sur des données génétiques de personnes dites « vulnérables » (patients, employés, enfants, etc.)

    - collecte de données sensibles
    - personnes dites « vulnérables »

    Traitements établissant des profils de personnes physiques à des fins de gestion des ressources humaines

    - évaluation ou notation
    - personnes dites « vulnérables »

    Traitements ayant pour finalité de surveiller de manière constante l'activité des employés concernés

    - personnes dites « vulnérables »
    - surveillance systématique

    Traitements ayant pour finalité la gestion des alertes et des signalements en matière sociale et sanitaire

    - personnes dites « vulnérables »
    - évaluation ou notation
    - collecte de données sensibles

    Traitements ayant pour finalité la gestion des alertes et des signalements en matière professionnelle

    - personnes dites « vulnérables »
    - évaluation ou notation
    - collecte de données sensibles

    Traitements des données de santé nécessaires à la constitution d'un entrepôt de données ou d'un registre

    - collecte de données sensibles
    - personnes dites « vulnérables »

    Traitements impliquant le profilage des personnes pouvant aboutir à leur exclusion du bénéfice d'un contrat ou à la suspension voire à la rupture de celui-ci

    - évaluation ou notation
    - croisement ou combinaison d'ensembles de données

    Traitements mutualisés de manquements contractuels constatés, susceptibles d'aboutir à une décision d'exclusion ou de suspension du bénéfice d'un contrat

    - croisement ou combinaison d'ensembles de données
    - prise de décision automatisée avec effet juridique ou effet similaire significatif

    Traitements de profilage faisant appel à des données provenant de sources externes

    - évaluation ou notation
    - croisement ou combinaison d'ensembles de données

    Traitements de données biométriques aux fins de reconnaissance des personnes parmi lesquelles figurent des personnes dites « vulnérables » (élèves, personnes âgées, patients, demandeurs d'asile, etc.)

    - collecte de données sensibles
    - personnes dites « vulnérables »

    Instruction des demandes et gestion des logements sociaux

    - collecte de données sensibles
    - évaluation ou notation

    Traitements ayant pour finalité l'accompagnement social ou médico-social des personnes

    - collecte de données sensibles
    - évaluation ou notation
    - personnes dites « vulnérables »

    Traitements de données de localisation à large échelle

    - collecte de données sensibles
    - données traitées à grande échelle


La présidente,

I. Falque-Pierrotin