Analyse d’impact relative à la protection des données : publication d’une liste des traitements pour lesquels une analyse n’est pas requise

22 October 2019

Le RGPD prévoit que les autorités de protection des données peuvent établir une liste des traitements pour lesquels une analyse d’impact relative à la protection des données n’est pas obligatoire. La CNIL a adopté sa liste définitive le 12 septembre dernier, après avoir soumis un projet au Comité européen de la protection des données.

Au mois de novembre 2018, la CNIL avait déjà adopté la liste des traitements pour lesquels une AIPD est obligatoire.

Conformément à ce que prévoit le RGPD, la CNIL a également élaboré une liste de traitements pour lesquels elle n’estime pas nécessaire qu’une AIPD soit réalisée.

Ce projet de liste a été soumis avant son adoption définitive à l’avis du Comité européen de la protection des données (CEPD). Le Comité a rendu fin juillet un avis sur plusieurs projets de listes élaborés par les autorités nationales de protection des données, dont la liste française, afin de s’assurer de leur bonne cohérence et de l’application homogène du RGPD dans l’Union européenne.

Sur la base de cet avis, la CNIL a adopté définitivement sa liste. Celle-ci comporte douze types d’opérations de traitement pour lesquelles elle n’estime pas obligatoire de réaliser une analyse d’impact relative à la protection des données.

Pour autant, cette liste n’est pas exhaustive, dans la mesure où des traitements qui n’y figurent pas peuvent également ne pas nécessiter une AIPD. C’est le cas des traitements qui ne présentent pas de risque élevé pour les droits et libertés des personnes physiques car ils ne répondent à aucun des critères issus des lignes directrices du G29.

[Infographie] Dois-je faire une AIPD ?

 

Keywords associated to this article