webleads-tracker

MENU
Nos expertises Présentation du cabinet Présentation Notre approche Nos départements Nos avocats Nos distinctions Nous contacter Equipe numerique Agenda / évènements Nos événements Autres événements Lexique Newsletters Rechercher Nos sites internet Data / Données personnelles Propriété intellectuelle Services numériques E-commerce Contenus illicites / E-réputation International Startup et Legaltechs / Tendances Partenaires Medias Contact Newsletter
SUIVEZ NOUS SUR
la lettre du numérique
L'actualité juridique et économique des acteurs du numérique par Simon Associés
simon associés simon associés
Accueil >Data / Données personnelles
 

La CNIL publie la liste des traitements de données personnelles soumis à analyse d’impact

Délibération n°2018-326 du 11 octobre 2018 portant adoption de lignes directrices sur les analyses d'impact relatives à la protection des données (AIPD) prévues par le règlement général sur la protection des données (RGPD)

La CNIL a fait la liste des traitements de données personnelles qui seront soumis à une analyse d’impact préalable en respect des dispositions du RGPD.



Le Règlement Général sur la Protection des Données personnelles (RGPD) a introduit la notion d’analyse d’impact relative à la protection des données.

Cette analyse d’impact est un processus dont l’objet est de décrire le traitement, d’en évaluer la nécessité ainsi que la proportionnalité et d’aider le responsable du traitement à gérer les risques pour les droits et libertés des personnes concernées, en les évaluant et en déterminant les mesures de sécurité adéquates.

L’article 35 du RGPD prévoit l’obligation de réaliser une telle analyse d’impact lorsqu’un de traitement, en particulier par le recours à de nouvelles technologies, est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques.

Depuis l’adoption du RGPD, de nombreux outils ont été publiés afin d’accompagner les responsables de traitement et les aider à faire face aux analyses d’impact.

Parmi ces outils, la CNIL a publié :

  • un logiciel de réalisation d’analyse d’impact (PIA sous licence Open source) ;
  • un guide présentant la méthodologie de l’analyse d’impact ;
  • un modèle d’analyse.

De son côté, le G29 (groupe des autorités de contrôle européennes) a adopté des lignes directrices d’une grande utilité notamment parce qu’au travers d’un certain nombre de critères, ces lignes aident à identifier si un traitement nécessite ou non la réalisation d’une analyse d’impact.

En effet, pour donner une vision plus concrète des opérations de traitement qui nécessitent une analyse d’impact, le G29 a dégagé neuf critères. Selon la méthode présentée, si un traitement répond à au moins deux de ces critères, alors une analyse d’impact s’avère nécessaire.

En synthèse, les neuf critères ont été présentés comme suit :

  • évaluation/scoring (y compris le profilage) ;
  • décision automatique avec effet légal ou similaire ;
  • surveillance systématique ;
  • collecte de données sensibles ;
  • collecte de données personnelles à large échelle ;
  • croisement de données ;
  • personnes vulnérables (patients, personnes âgées, enfants, etc.) ;
  • usage innovant (utilisation d’une nouvelle technologie) ;
  • exclusion du bénéfice d’un droit/contrat

Conformément à l’article 35-4 du RGPD, lequel prévoit qu’une autorité de contrôle doit établir et publier une liste des types d'opérations de traitement pour lesquelles une analyse d'impact est requise, La CNIL a publié le 6 novembre dernier, en tenant compte de ces neuf critères, sa liste des traitements qui par définition sont soumis à analyse d’impact.

A la lecture de cette liste, sont concernés les traitements des données de santé, de ressources humaines lorsqu’une surveillance individualisé des salariés est réalisée, de géolocalisation lorsque celle-ci est réalisé à grande échelle, des assurances et enfin des données recueillies dans le cadre de la gestion des logements sociaux.

Liste des traitements soumis à analyse d’impact :

  • Traitements de données de santé mis en œuvre par les établissements de santé ou les établissements médicosociaux pour la prise en charge des personnes ;
  • Traitements portant sur des données génétiques de personnes dites « vulnérables » (patients, employés, enfants, etc.) ;
  • Traitements établissant des profils de personnes physiques à des fins de gestion des ressources humaines ;
  • Traitements ayant pour finalité de surveiller de manière constante l’activité des employés concernés ;
  • Traitements ayant pour finalité la gestion des alertes et des signalements en matière sociale et sanitaire ;
  • Traitements ayant pour finalité la gestion des alertes et des signalements en matière professionnelle ;
  • Traitements des données de santé nécessaires à la constitution d’un entrepôt de données ou d’un registre ;
  • Traitements mutualisés de manquements contractuels constatés, susceptibles d’aboutir à une décision d’exclusion ou de suspension du bénéfice d’un contrat ;
  • Traitements de profilage faisant appel à des données provenant de sources externes ;
  • Traitements de données biométriques aux fins de reconnaissance des personnes parmi lesquelles figurent des personnes dites « vulnérables » (élèves, personnes âgées, patients, demandeurs d’asile, etc.) ;
  • Traitements impliquant le profilage des personnes pouvant aboutir à leur exclusion du bénéfice d’un contrat ou à la suspension voire à la rupture de celui-ci ;
  • Instruction des demandes et gestion des logements sociaux ;
  • Traitements ayant pour finalité l’accompagnement social ou médico-social des personnes ;
  • Traitements de données de localisation à large échelle.

A rapprocher : Délibération n°2018-326 du 11 octobre 2018 

VOIR AUSSI

Manquement à l’obligation de sécurité des données : OPTICAL CENTER condamnée à 250 000 € d’amende

CNIL, Délibération n°SAN- 2018-002 du 7 mai 2018

- Vu : 534

La CNIL a condamné la société OPTICAL CENTER à régler une sanction pécuniaire à hauteur de 250 000 €, après avoir constaté que cette dernière avait manqué à son obligation d’assurer la sécurité et la confidentialité des données de ses clients enregistrées sur son site internet.

> Lire la suite

Plus que 10 mois pour mettre en conformité ses fichiers clients et prospects !

- Vu : 276

Le 14 septembre 2016 a été publiée au Journal Officiel une nouvelle délibération de la CNIL modifiant la norme simplifiée n°48 qui fixe un cadre juridique pour les traitements de données relatifs à la gestion de clients et de prospects («NS-48 »).

> Lire la suite


Les plus vus...
Loi informatique et libertés III : articulation avec le RGPD
6 juillet 2018 - Vu : 3094
La loi du 20 juin 2018 n°2018-493, prise en application du Règlement (UE) 2016/679 sur la Protection des ...
> Lire la suite
La mise en conformité avec le RGPD des PME
22 mai 2018 - Vu : 2661
Consciente des difficultés que peuvent rencontrer les entreprises dans leurs démarches, la CNIL a édité une méthodologie présentée ...
> Lire la suite
Phishing : le seul fait de répondre à un email d’hameçonnage constituerait-il une négligence grave ?
16 novembre 2018 - Vu : 2595
La Cour de cassation, dans cet arrêt du 3 octobre 2018, a censuré les juges du fond qui ...
> Lire la suite
Protéger ses marques efficacement - 15 mai 2018 - Nantes
16 avril 2018 - Vu : 1502
SIMON ASSOCIÉS organise un petit-déjeuner sur le thème de la protection des marques le 15 mai 2018 à ...
> Lire la suite
Copyright ©2017 La lettre du Numérique | Création et réalisation Webcd©