RGPD : la Cnil spécifie les traitements de données dispensés d’analyse d’impact

Avocat, responsable RH ou médecin libéral ? Vous faites partie des professions susceptibles de bénéficier d’une dispense d’AIPD.

Le RGPD impose de réaliser ces « analyses d’impact relatives à la protection des données » dans le cadre de la mise en œuvre de certains traitements. En l’occurrence, ceux qui présentent un risque élevé pour les droits et libertés des personnes physiques.

Le périmètre de cette obligation est défini en partie dans le règlement.
Des lignes directrices ont été adoptées en complément au niveau européen, par les autorités nationales de protection des données, sur la base de 9 critères.

La Cnil considère que de manière générale, un traitement qui rencontre au moins deux de ces critères doit faire l’objet d’une AIPD.

En application de l’article 35.4 du RGPD, la commission a établi sa propre liste, publiée en novembre 2018. Y figurent 14 types d’opérations de traitement, dans des domaines comme la santé, les RH et la publicité.

RH : les PME dispensées

L’article 35.5 donne la possibilité de définir une autre liste regroupant a contrario les traitements pour lesquels une AIPD n’est pas requise.

La Cnil en a récemment adopté une, publiée au Journal officiel du 22 octobre 2019.
Y sont répertoriés 12 types d’opérations de traitement. Parmi elles, la gestion :

• des RH (à l’exception du profilage) dans les organismes qui emploient moins de 250 personnes ;
• de la relation fournisseurs ;
• du fichier électoral des communes ;
• des activités des comités d’entreprise et d’établissement ;
• des membres et des donateurs dans les institutions sans but lucratif (« dans le cadre de leurs activités habituelles dès lors que les données ne sont pas sensibles »).

Les exemptions visent aussi à faciliter l’exercice de certains métiers :

• les professionnels de santé à titre individuel, à travers les traitements de données de santé nécessaires à la prise en charge de patients ;
• les avocats, à titre individuel également ;
• les greffiers des tribunaux de commerce ;
• les notaires (incluant la rédaction des documents des offices notariaux).

La Cnil inclut aussi :

• pour les collectivités territoriales notamment, la gestion des services en matière d’affaires scolaires, périscolaires et de la petite enfance ;
• la gestion des contrôles d’accès physiques et des horaires pour le calcul de temps de travail (en dehors de tout dispositif biométrique et à l’exclusion des traitements qui révèlent « des données sensibles à caractère hautement personnel ») ;
• les traitements relatifs aux éthylotests « aux seules fins d’empêcher [la conduite] sous l’influence de l’alcool ou de stupéfiants ».

Photo d’illustration © portalgdaviaVisualhunt / CC BY-NC-SA