Deux délibérations de la CNIL * concernant le RGPD** ont été publiées au Journal Officiel du 6 novembre. La première, n° 2018-326, est relative à l’adoption des lignes directrices précisant les règles générales à respecter concernant les analyses d’impact. Son contenu fait spécifiquement référence à la liste des traitements nécessitant une analyse d’impact, adoptée par la deuxième délibération n° 2018-327.

Analyse de la dernière délibération :

Il est tout d’abord intéressant de noter que celle-ci fait référence à l’avis 9/2018 du Comité européen de la protection des données ou CEPD (autorité européenne). Ce dernier est relatif au projet de liste de l’autorité de contrôle française, portant sur les types d’opération de traitements pour lesquelles une analyse d’impact relative à la protection des données adopté le 25 septembre 2018.

Concernant la liste proprement dite, il est important d’effectuer un focus sur certains types de traitements clefs nécessitant une analyse d’impact. Il s’agit des traitements :

  • Etablissant des profils de personnes physiques à des fins de gestion des ressources humaines (critères du CEPD concernés : évaluation ou notation, ou personnes dites vulnérables). Les personnes vulnérables, au sens du RGPD et dans l’approche classique de la CNIL, faisant référence aux mineurs,
  • Ayant pour finalité de surveiller de manière constante l’activité des employés concernés (critères du CEPD concernés : personnes dites vulnérables, ou surveillance systématique),
  • Ayant pour finalité la gestion des alertes et des signalements en matière sociale et sanitaire (critères du CEPD concernés : personnes dites vulnérables, ou évaluation/notation, ou collecte de données sensibles). Ceci fait référence aux articles L4131-1 et suivantsdu Code du travail,
  • Ayant pour finalité la gestion des alertes et des signalements en matière professionnelle (critères du CEPD concernés : personnes dites vulnérables, ou évaluation/notation, ou collecte de données sensibles),
  • Impliquant le profilage des personnes, pouvant aboutir à leur exclusion du bénéfice d’un contrat ou à la suspension ; voire à la rupture de celui-ci (critères du CEPD concernés : évaluation/notation, croisement ou combinaison d’ensembles de données),
  • Mutualisés de manquements contractuels constatés, susceptibles d’aboutir à une décision d’exclusion ou de suspension du bénéfice d’un contrat (critères du CEPD concernés : croisement ou combinaison d’ensembles de données, ou prise de décision automatisée avec effet juridique ou effet similaire significatif),
  • De profilage faisant appel à des données provenant de sources externes (critères du CEPD concernés : évaluation ou notation, ou croisement/combinaison d’ensembles de données),
  • De données de localisation à large échelle (critères du CEPD concernés : collecte de données sensibles, ou données traitées à grande échelle).

La CNIL indique que cette liste a un caractère non-exhaustif. Selon les termes mêmes de la délibération « Conformément à l’article 35.1 du RGPD, une analyse d’impact devra être réalisée dès lors que le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques ». Cette liste est fondée sur les lignes directrices du CEPD concernant l’analyse d’impact relative à la protection des données qu’elle vient compléter et préciser pour des traitements spécifiques.

Dans un prochain article, nous traiterons de l’autre délibération CNIL relative aux règles générales à respecter en matière d’analyse d’impact.

CNIL* : Commission nationale de l’informatique et des libertés
RGPD** : Règlement général sur la protection des données