webleads-tracker

MENU
Nos expertises Présentation du cabinet Présentation Notre approche Nos départements Nos avocats Nos distinctions Nous contacter Equipe numerique Agenda / évènements Nos événements Autres événements Lexique Newsletters Rechercher Nos sites internet Data / Données personnelles Propriété intellectuelle Services numériques E-commerce Contenus illicites / E-réputation International Startup et Legaltechs / Tendances Partenaires Medias Contact Newsletter
SUIVEZ NOUS SUR
la lettre du numérique
L'actualité juridique et économique des acteurs du numérique par Simon Associés
simon associés simon associés
Accueil >Data / Données personnelles
 

La CNIL publie la liste des traitements de données personnelles soumis à analyse d’impact

Délibération n°2018-326 du 11 octobre 2018 portant adoption de lignes directrices sur les analyses d'impact relatives à la protection des données (AIPD) prévues par le règlement général sur la protection des données (RGPD)

La CNIL a fait la liste des traitements de données personnelles qui seront soumis à une analyse d’impact préalable en respect des dispositions du RGPD.



Le Règlement Général sur la Protection des Données personnelles (RGPD) a introduit la notion d’analyse d’impact relative à la protection des données.

Cette analyse d’impact est un processus dont l’objet est de décrire le traitement, d’en évaluer la nécessité ainsi que la proportionnalité et d’aider le responsable du traitement à gérer les risques pour les droits et libertés des personnes concernées, en les évaluant et en déterminant les mesures de sécurité adéquates.

L’article 35 du RGPD prévoit l’obligation de réaliser une telle analyse d’impact lorsqu’un de traitement, en particulier par le recours à de nouvelles technologies, est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques.

Depuis l’adoption du RGPD, de nombreux outils ont été publiés afin d’accompagner les responsables de traitement et les aider à faire face aux analyses d’impact.

Parmi ces outils, la CNIL a publié :

  • un logiciel de réalisation d’analyse d’impact (PIA sous licence Open source) ;
  • un guide présentant la méthodologie de l’analyse d’impact ;
  • un modèle d’analyse.

De son côté, le G29 (groupe des autorités de contrôle européennes) a adopté des lignes directrices d’une grande utilité notamment parce qu’au travers d’un certain nombre de critères, ces lignes aident à identifier si un traitement nécessite ou non la réalisation d’une analyse d’impact.

En effet, pour donner une vision plus concrète des opérations de traitement qui nécessitent une analyse d’impact, le G29 a dégagé neuf critères. Selon la méthode présentée, si un traitement répond à au moins deux de ces critères, alors une analyse d’impact s’avère nécessaire.

En synthèse, les neuf critères ont été présentés comme suit :

  • évaluation/scoring (y compris le profilage) ;
  • décision automatique avec effet légal ou similaire ;
  • surveillance systématique ;
  • collecte de données sensibles ;
  • collecte de données personnelles à large échelle ;
  • croisement de données ;
  • personnes vulnérables (patients, personnes âgées, enfants, etc.) ;
  • usage innovant (utilisation d’une nouvelle technologie) ;
  • exclusion du bénéfice d’un droit/contrat

Conformément à l’article 35-4 du RGPD, lequel prévoit qu’une autorité de contrôle doit établir et publier une liste des types d'opérations de traitement pour lesquelles une analyse d'impact est requise, La CNIL a publié le 6 novembre dernier, en tenant compte de ces neuf critères, sa liste des traitements qui par définition sont soumis à analyse d’impact.

A la lecture de cette liste, sont concernés les traitements des données de santé, de ressources humaines lorsqu’une surveillance individualisé des salariés est réalisée, de géolocalisation lorsque celle-ci est réalisé à grande échelle, des assurances et enfin des données recueillies dans le cadre de la gestion des logements sociaux.

Liste des traitements soumis à analyse d’impact :

  • Traitements de données de santé mis en œuvre par les établissements de santé ou les établissements médicosociaux pour la prise en charge des personnes ;
  • Traitements portant sur des données génétiques de personnes dites « vulnérables » (patients, employés, enfants, etc.) ;
  • Traitements établissant des profils de personnes physiques à des fins de gestion des ressources humaines ;
  • Traitements ayant pour finalité de surveiller de manière constante l’activité des employés concernés ;
  • Traitements ayant pour finalité la gestion des alertes et des signalements en matière sociale et sanitaire ;
  • Traitements ayant pour finalité la gestion des alertes et des signalements en matière professionnelle ;
  • Traitements des données de santé nécessaires à la constitution d’un entrepôt de données ou d’un registre ;
  • Traitements mutualisés de manquements contractuels constatés, susceptibles d’aboutir à une décision d’exclusion ou de suspension du bénéfice d’un contrat ;
  • Traitements de profilage faisant appel à des données provenant de sources externes ;
  • Traitements de données biométriques aux fins de reconnaissance des personnes parmi lesquelles figurent des personnes dites « vulnérables » (élèves, personnes âgées, patients, demandeurs d’asile, etc.) ;
  • Traitements impliquant le profilage des personnes pouvant aboutir à leur exclusion du bénéfice d’un contrat ou à la suspension voire à la rupture de celui-ci ;
  • Instruction des demandes et gestion des logements sociaux ;
  • Traitements ayant pour finalité l’accompagnement social ou médico-social des personnes ;
  • Traitements de données de localisation à large échelle.

A rapprocher : Délibération n°2018-326 du 11 octobre 2018 

VOIR AUSSI

Le cybercommerçant qui intègre un bouton « j’aime » de Facebook sur son site internet est un responsable conjoint de traitement

CJUE, 2ème ch., 29 juillet 2019, Fashion ID GmbH & Co. KG / Verbraucherzentrale NRW eV, Facebook Ireland Ltd et autre

- Vu : 500

Intégrer un bouton « j’aime » du réseau social Facebook sur son site internet entraîne la qualification de responsable conjoint de traitement de l’administrateur du site internet aux côtés de Facebook.

> Lire la suite

Du nouveau dans les dispositifs d'alerte professionnelle !

Délibération n°2017-191 du 22 juin 2017 portant modification de la délibération n°2005-305 du 8 décembre 2005

- Vu : 418

La CNIL a adopté, le 22 juin 2017, une délibération portant modification de sa délibération n°2005-305 du 8 décembre 2005 portant autorisation unique de traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositifs d'alerte professionnelle.

> Lire la suite


Les plus vus...
Loi informatique et libertés III : articulation avec le RGPD
6 juillet 2018 - Vu : 4118
La loi du 20 juin 2018 n°2018-493, prise en application du Règlement (UE) 2016/679 sur la Protection des ...
> Lire la suite
Phishing : le seul fait de répondre à un email d’hameçonnage constituerait-il une négligence grave ?
16 novembre 2018 - Vu : 3525
La Cour de cassation, dans cet arrêt du 3 octobre 2018, a censuré les juges du fond qui ...
> Lire la suite
La mise en conformité avec le RGPD des PME
22 mai 2018 - Vu : 3256
Consciente des difficultés que peuvent rencontrer les entreprises dans leurs démarches, la CNIL a édité une méthodologie présentée ...
> Lire la suite
Victime d’hameçonnage : la Cour de cassation impose à l’utilisateur une vigilance de plus en plus accrue
22 mai 2018 - Vu : 2038
La Cour de cassation renforce à nouveau l’obligation de prudence pesant sur l’internaute victime d’hameçonnage, dans la droite ...
> Lire la suite
Copyright ©2017 La lettre du Numérique | Création et réalisation Webcd©