Cet article a été publié il y a 5 ans, il est donc possible qu'il ne soit plus à jour.
- La CNIL a actualisé son guide de la sécurité des données personnelles à destination des employeurs
- Recrutement : la CNIL sanctionne une entreprise sur la collecte des données personnelles d'un candidat
- RGPD : nouveau guide pour les services de prévention et de santé au travail
- Protection des données personnelles : les obligations du CSE
Qu’est-ce qu’une AIPD ?
L’analyse d’impact relative à la protection des données (AIPD) est un des éléments centraux du RGPD (règlement européen).
C’est une analyse aidant à construire des traitements de données respectueux de la vie privée et permettant de démontrer la conformité de son traitement au RGPD.
Une AIPD est un outil d’évaluation d’impact sur la vie privée. Elle repose sur 2 piliers :
- Les principes et droits fondamentaux, « non négociables », fixés par la loi. Ils ne peuvent faire l’objet d’aucune modulation, quelles que soient la nature, la gravité et la vraisemblance des risques encourus ;
- La gestion des risques sur la vie privée des personnes concernées, qui permet de déterminer les mesures techniques et d’organisation appropriée pour protéger les données personnelles.
Le RGPD prévoit qu’une analyse d’impact relative à la protection des données doit être menée quand un traitement est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées ».
Quels sont les traitements de données soumis à une AIPD ?
Le RGPD imposant aux autorités de contrôle d’établir et de publier une liste des 14 types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise, la CNIL a établi cette liste par délibération du 11 octobre 2018.
Elle a listé les traitements pour lesquels une AIPD est requise dans le domaine des ressources humaines, sachant que cette liste n'est pas exhaustive et fera l'objet de mises à jour :
- Traitements établissant des profils de personnes physiques à des fins de gestion des ressources humaines ;
- Traitements ayant pour finalité de surveiller de manière constante l’activité des salariés concernés ;
- Traitements ayant pour finalité la gestion des alertes et des signalements en matière professionnelle ;
- Traitements de données biométriques aux fins de reconnaissance des salariés (dispositif biométrique de contrôle individuel de l’accès aux locaux de l’entreprise).
Quels sont les traitements de données non soumis à une AIPD ?
D’une manière générale, ne sont pas soumis à AIPD les traitements qui ne sont pas susceptibles d’engendrer un « risque élevé pour les droits et libertés des personnes physiques ».
Le RGPD autorise les autorités nationales de protection des données à adopter une liste d’opérations de traitement qui ne doivent pas être précédées d’une AIPD. Sur ce fondement, la CNIL a établi sa liste des traitements qui, en tout état de cause, ne présentent pas de risque élevé et ne sont donc pas soumis à la réalisation d’une AIPD.
Le projet de liste a été soumis avant son adoption définitive à l’avis du Comité européen de la protection des données (CEPD). Le Comité a rendu fin juillet un avis sur plusieurs projets de listes élaborés par les autorités nationales de protection des données, dont la liste française, afin de s’assurer de leur bonne cohérence et de l’application homogène du RGPD dans l’Union européenne.
Sur la base de cet avis, la CNIL a adopté définitivement sa liste. Celle-ci comporte 12 types d’opérations de traitement pour lesquelles elle n’estime pas obligatoire de réaliser une analyse d’impact relative à la protection des données.
Pour autant, cette liste n’est pas exhaustive, dans la mesure où des traitements qui n’y figurent pas peuvent également ne pas nécessiter une AIPD. C’est le cas des traitements qui ne présentent pas de risque élevé pour les droits et libertés des personnes physiques.
A la lecture de cette liste, les traitements des données personnelles des salariés ne nécessitant pas de procéder à une analyse d'impact sont les :
- Traitements, mis en œuvre uniquement à des fins de ressources humaines et dans les conditions prévues par les textes applicables, pour la seule gestion du personnel des organismes qui emploient moins de 250 personnes, à l'exception du recours au profilage ;
- Traitements destinés à la gestion des comités sociaux et économiques ;
- Traitements mis en œuvre aux seules fins de gestion des contrôles d'accès physique et des horaires pour le calcul du temps de travail, en dehors de tout dispositif biométrique, à l'exclusion des traitements des données qui révèlent des données sensibles ou à caractère hautement personnel ;
- Traitements relatifs aux éthylotests, strictement encadrés par un texte et mis en œuvre dans le cadre d'activités de transport aux seules fins d'empêcher les conducteursde conduire un véhicule sous l'influence de l'alcool ou de stupéfiants.
Si la présence d'une opération de traitement sur cette liste dispense de réaliser une analyse d'impact, le responsable de traitement reste soumis à l'ensemble des autres obligations qui lui incombent en application du RGPD et de la loi du 6 janvier 1978, notamment celles énoncées à l'article 32 du RGPD en matière de sécurité du traitement.
Vérifiez la conformité de vos traitements de données RH au RGPD
Découvrir aussi : Protection des données personnelles : le RGPD Dossier synthèse
Assurez-vous d'être en conformité vis-à-vis du RGPD et évitez les sanctions Découvrez et respectez les droits et les devoirs de votre entreprise et de vos salariés en la matière Bénéficiez de nombreux documents inclus : modèles de lettres et de documents, notes d'informations ... Retrouvez notre livret à distribuer, au format PDF, afin de sensibiliser vos salariés au RGPD
Informez vos salariés sur leurs droits et obligations
Découvrir aussi : Livret RGPD à distribuer à vos salariés Livret et dépliant
Apportez de manière précise et concise l’essentiel des informations sur le RGPD à vos salariés Responsabilisez les salariés en mettant en avant leurs droits et devoirs vis-à-vis de ce nouveau règlement Assistez la transition de toute l’entreprise vers une bonne application du RGPD