Que retenir de la liste de traitements soumis à analyse d’impact publiée par la CNIL ?

Pour mieux comprendre : l’article 35 du Règlement général sur la protection des données de 2016 (ou RGPD) prévoit une obligation de « principe » de réaliser une analyse d’impact sur la vie privée (AIPD) lorsqu’un traitement est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées ».

Afin d’assurer une interprétation uniforme de cette obligation au sein des États membres, l’article vise des typologies de traitements pour lesquels une AIPD est nécessaire et invite les autorités nationales de protection des données à établir deux types de listes :

  • une liste des types d’opérations de traitement pour lesquelles une analyse doit être réalisée ;
  • une liste des types d’opérations de traitement pour lesquelles aucune analyse ne doit être réalisée.

 C’est dans ce contexte que la CNIL a publié une liste des types d’opérations de traitement devant faire l’objet d’une AIPD.

Un certain parallèle peut être effectué avec des cas d’autorisation qui existaient antérieurement à l’entrée en application du RGPD, tels que pour les traitements de données de localisation à large échelle (autorisation préalable de la CNIL prévue à l’article L.581-9 du code de l’environnement sur les systèmes de mesure automatique de l’audience ou d’analyse du comportement intégrés des dispositifs publicitaires), les alertes professionnelles ou encore les listes noires ou d’exclusion.

Cependant, la CNIL semble également se focaliser sur des traitements qui, jusque-là, pouvaient être considérés comme courants et dont la mise en œuvre n’était pas susceptible de porter atteinte à la vie privée ou aux libertés (ex : les traitements RH ou la prospection), ce qui leur permettait de bénéficier de procédures simplifiées auprès de la CNIL, mais qui, du fait de l’usage de nouveaux moyens technologiques ou décisionnels (ex : les algorithmes ou systèmes de géolocalisation) doivent à présent faire l’objet de davantage de précautions.

Les responsables de traitements ne peuvent donc plus se reposer sur la dichotomie entre les traitements qui étaient soumis à déclaration (les moins à risque) et ceux qui étaient soumis à autorisation (les plus à risque).

Ils doivent désormais, hormis les cas d’autorisation maintenus localement, vérifier si une analyse d’impact n’est pas requise au regard :

  • des cas visés par l’article 35 du RGPD,  en se référant aux critères dégagés par l’ex-G29 (remplacé par le CEPD ou Comité européen à la protection des données) – qui retient que dès lors que deux critères sont remplis, l’analyse est requise ;
  • de la liste de la ou des autorité(s) de protection des données compétente(s) au regard du traitement (NB : ainsi pour les traitements transnationaux il sera nécessaire de vérifier pour chaque Etat membre concerné si une telle liste a été publiée).

Il convient enfin de veiller à l’évolution de certains traitements qui pourraient tomber sous le coup d’une obligation de réaliser une analyse d’impact dans le temps.

Lire la liste entière sur le site de la CNIL