Coup de pouce pour les responsables de traitement, le 22 octobre 2019, une délibération de la CNIL a été publiée au Journal Officiel à laquelle est annexée, sous forme de tableau, la liste des types d’opérations de traitement de données à caractère personnel pour lesquelles une analyse d’impact relative à la protection des données n’est pas requise. Eclairages…
L’obligation de réalisation ou non d’une analyse d’impact pour les traitements de données à caractère personnel : une distribution opérée par le RGPD
Le RGPD, ou « règlement général sur la protection des données » est un règlement européen adopté le 27 avril 2016 et entré en vigueur le 25 mai 2018 venant poser le nouveau cadre juridique applicable aux traitements de données personnelles, soit de données qui permettent d’identifier une personne directement ou indirectement, c’est-à-dire par recoupement de données, analyse etc.
Ce texte repose sur un principe de responsabilisation des responsables de traitement de données à caractère personnel qui va avec la suppression de l’obligation de déclaration préalable des fichiers créés par ledit responsable ou un sous-traitant à l’autorité de contrôle, qui est pour la France la CNIL (Commission nationale de l’Informatique et des libertés). Ainsi, depuis le 25 mai 2018, pour les types de traitement de données susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées, l’article 35, paragraphe 1 du RGPD impose de faire une analyse d’impact avant tout traitement de ces données, que l’on pourrait qualifier de sensibles donc. Cette analyse d’impact (PIA en anglais pour privacy impact assessment ou AIPD en français pour analyse d’impact sur la protection des données à caractère personnel) est dès lors un outil de conformité du traitement : il permet de garantir le respect du RGPD mais également de prouver la conformité du traitement pour son responsable ou le sous-traitant, exigence dérivant du principe de responsabilisation ci-dessus évoqué.
En ce qui concerne les autres traitements, ils peuvent a priori être effectués sans une telle procédure préalable en étant seulement inscrits au registre des traitements tenu par le même responsable.
L’autorité de contrôle de l’État membre concerné est, dans le premier cas, chargée d’établir et de publier une liste de ces types d’opérations de traitement de données qui nécessitent une analyse d’impact (article 35, paragraphe 4). Mais c’est ici en vertu du paragraphe 5 de cet article que la CNIL a publié la liste des traitements pour lesquels la conduite d’une analyse d’impact n’est cette fois-ci pas obligatoire, article qui énonce en effet que : « l’autorité de contrôle peut aussi établir et publier une liste des types d’opérations de traitement pour lesquelles aucune analyse d’impact relative à la protection des données n’est requise » et d’ajouter, comme pour le cas inverse, que : « l’autorité de contrôle communique cette liste au comité ». Ainsi, le 29 mars 2019, un projet de liste a été adopté par la CNIL et soumis pour avis au CEPD (Comité européen de la protection des données) le 3 avril 2019, avis qu’il a rendu le 10 juillet 2019, notifié à la CNIL deux jours plus tard. L’adoption de la liste définitive par cette dernière est donc intervenue, qui vient compléter et préciser les lignes directrices sur les analyses d’impact qu’elle avait adoptées le 11 octobre 2018.
Les 12 types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données n’est pas requise
La liste publiée par la CNIL comprend 12 types d’opérations de traitement de données personnelles dont se dégagent plusieurs catégories de traitements, que l’on pourrait regrouper comme suit :
- Les traitements relatifs à la partie relations humaines des entreprises voire comptable, ce sont : « les traitements, mis en œuvre uniquement à des fins de ressources humaines et dans les conditions prévues par les textes applicables, pour la seule gestion du personnel des organismes qui emploient moins de 250 personnes, à l’exception du recours au profilage » ; « les traitements mis en œuvre aux seules fins de gestion des contrôles d’accès physiques et des horaires pour le calcul du temps de travail, en dehors de tout dispositif biométrique, à l’exclusion des traitements des données qui révèlent des données sensibles ou à caractère hautement personnel » et « les traitements de gestion de la relation fournisseurs »
- Les traitements relatifs aux activités des CE, comités d’établissement, associations, fondations ou toute institution sans but lucratif. On y retrouve : « les traitements destinés à la gestion des activités des comités d’entreprise et d’établissement » et « les traitements mis en œuvre par une association, une fondation ou toute autre institution sans but lucratif pour la gestion de ses membres et de ses donateurs dans le cadre de ses activités habituelles dès lors que les données ne sont pas sensibles ».
- Les traitements relatifs à l’exercice d’activités juridiques : « les traitements mis en œuvre par les avocats dans le cadre de l’exercice de leur profession à titre individuel » ; « les traitements mis en œuvre par les greffiers des tribunaux de commerce aux fins d’exercice de leur activité », ainsi que « les traitements mis en œuvre par les notaires aux fins d’exercice de leur activité notariale et de rédaction des documents des offices notariaux ».
- Les traitements relatifs aux activités des collectivités territoriales : on retrouvera ici « les traitements mis en œuvre dans les conditions prévues par les textes relatifs à la gestion du fichier électoral des communes » et « les traitements mis en œuvre par les collectivités territoriales et les personnes morales de droit public et de droit privé aux fins de gérer les services en matière d’affaires scolaires, périscolaires et de la petite enfance ».
- Les traitements relatifs à des données de santé que sont : « les traitements de données de santé nécessaires à la prise en charge d’un patient par un professionnel de santé exerçant à titre individuel au sein d’un cabinet médical, d’une officine de pharmacie ou d’un laboratoire de biologie médicale » et « les traitements relatifs aux éthylotests, strictement encadrés par un texte et mis en œuvre dans le cadre d’activités de transport aux seules fins d’empêcher les conducteurs de conduire un véhicule sous l’influence de l’alcool ou de stupéfiants ».
On constate que la liste de la CNIL des types de traitement pour lesquels une analyse d’impact n’est pas exigée, qu’elle illustre à chaque fois d’exemples, regroupe essentiellement des traitements en général assez nécessaires à la réalisation de l’activité du responsable de traitement et/ou, du moins, censés rester en interne de la structure de celui-ci. De plus, ceux-ci semblent se limiter très logiquement à des données que l’on pourrait considérer comme non sensibles.
Par ailleurs, cette liste est non exhaustive. En effet, des traitements qui n’y figurent pas peuvent tout autant que ceux qui y figurent ne pas nécessiter une analyse d’impact, notamment, indique la CNIL, si le traitement ne présente pas de risque élevé pour les droits et libertés des personnes concernées car il ne répond à aucun des critères suivants issus des lignes directrices du G29 (remplacé depuis par le CEPD) : évaluation/scoring, décision automatique avec effet légal ou similaire, surveillance systématique, données sensibles ou hautement personnelles (santé, géolocalisation…), collecte à large échelle, croisement de données, personnes vulnérables (patients, personnes âgées, enfants…), usage innovant (une nouvelle technologie est utilisée) ou encore exclusion du bénéfice d’un droit ou d’un contrat.
En novembre 2018, la CNIL avait déjà élaboré la liste inverse, dont il est question dans l’article 35, paragraphe 1 du RGPD, celle des traitements pour lesquels une analyse d’impact est là obligatoire, liste non exhaustive elle aussi car si le traitement répond à au moins deux critères ci-dessus exposés, ou à un seul critère mais que le responsable de traitement considère que son traitement présente un risque élevé, la CNIL suggère de faire une analyse d’impact.
Enfin, il faut noter qu’à la fin de la délibération de la CNIL il est rappelé que si la présence d’une opération de traitement sur la liste dispense le responsable dudit traitement de réaliser une analyse d’impact, il reste toutefois soumis à l’ensemble des autres obligations qui lui incombent en application du RGPD, notamment son article 32 en matière de sécurité du traitement et de la loi du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés.
Sources :
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE
Délibération n° 2019-118 de la CNIL du 12 septembre 2019 portant adoption de la liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données n’est pas requise, JORF n°0246 du 22 octobre 2019, texte n° 90
Délibération n°2018-326 du 11 octobre 2018 portant adoption de lignes directrices sur les analyses d’impact relatives à la protection des données (AIPD) prévues par le règlement général sur la protection des données (RGPD), JORF n°0256 du 6 novembre 2018, texte n°81
CNIL, « Analyse d’impact relative à la protection des données : publication d’une liste des traitements pour lesquels une analyse n’est pas requise », 22 octobre 2019 : www.cnil.fr