Les traitements de données personnelles dispensés d’analyse d’impact

Actualité
RH RGPD

Le RGPD prévoyant que les autorités de protection des données peuvent établir une liste des traitements pour lesquels une AIPD n’est pas obligatoire, la CNIL a adopté et publié sa liste.

Les traitements de données personnelles dispensés d’analyse d’impact
Publié le
Télécharger en PDF

Qu’est-ce qu’une AIPD ?

L’analyse d’impact relative à la protection des données (AIPD) est un des éléments centraux du RGPD (règlement européen).

C’est une analyse aidant à construire des traitements de données respectueux de la vie privée et permettant de démontrer la conformité de son traitement au RGPD.

Une AIPD est un outil d’évaluation d’impact sur la vie privée. Elle repose sur 2 piliers :

  • Les principes et droits fondamentaux, « non négociables », fixés par la loi. Ils ne peuvent faire l’objet d’aucune modulation, quelles que soient la nature, la gravité et la vraisemblance des risques encourus ;
  • La gestion des risques sur la vie privée des personnes concernées, qui permet de déterminer les mesures techniques et d’organisation appropriée pour protéger les données personnelles.

Le RGPD prévoit qu’une analyse d’impact relative à la protection des données doit être menée quand un traitement est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées ».

Quels sont les traitements de données soumis à une AIPD ?

Le RGPD imposant aux autorités de contrôle d’établir et de publier une liste des 14 types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise, la CNIL a établi cette liste par délibération du 11 octobre 2018.

Elle a listé les traitements pour lesquels une AIPD est requise dans le domaine des ressources humaines, sachant que cette liste n'est pas exhaustive et fera l'objet de mises à jour :

  • Traitements établissant des profils de personnes physiques à des fins de gestion des ressources humaines ;
  • Traitements ayant pour finalité de surveiller de manière constante l’activité des salariés concernés ;
  • Traitements ayant pour finalité la gestion des alertes et des signalements en matière professionnelle ;
  • Traitements de données biométriques aux fins de reconnaissance des salariés (dispositif biométrique de contrôle individuel de l’accès aux locaux de l’entreprise).

Quels sont les traitements de données non soumis à une AIPD ?

D’une manière générale, ne sont pas soumis à AIPD les traitements qui ne sont pas susceptibles d’engendrer un « risque élevé pour les droits et libertés des personnes physiques ».

Le RGPD autorise les autorités nationales de protection des données à adopter une liste d’opérations de traitement qui ne doivent pas être précédées d’une AIPD. Sur ce fondement, la CNIL a établi sa liste des traitements qui, en tout état de cause, ne présentent pas de risque élevé et ne sont donc pas soumis à la réalisation d’une AIPD.

Le projet de liste a été soumis avant son adoption définitive à l’avis du Comité européen de la protection des données (CEPD). Le Comité a rendu fin juillet un avis sur plusieurs projets de listes élaborés par les autorités nationales de protection des données, dont la liste française, afin de s’assurer de leur bonne cohérence et de l’application homogène du RGPD dans l’Union européenne.

Sur la base de cet avis, la CNIL a adopté définitivement sa liste. Celle-ci comporte 12 types d’opérations de traitement pour lesquelles elle n’estime pas obligatoire de réaliser une analyse d’impact relative à la protection des données.

Pour autant, cette liste n’est pas exhaustive, dans la mesure où des traitements qui n’y figurent pas peuvent également ne pas nécessiter une AIPD. C’est le cas des traitements qui ne présentent pas de risque élevé pour les droits et libertés des personnes physiques.

A la lecture de cette liste, les traitements des données personnelles des salariés ne nécessitant pas de procéder à une analyse d'impact sont les :

  • Traitements, mis en œuvre uniquement à des fins de ressources humaines et dans les conditions prévues par les textes applicables, pour la seule gestion du personnel des organismes qui emploient moins de 250 personnes, à l'exception du recours au profilage ;
  • Traitements destinés à la gestion des comités sociaux et économiques ;
  • Traitements mis en œuvre aux seules fins de gestion des contrôles d'accès physique et des horaires pour le calcul du temps de travail, en dehors de tout dispositif biométrique, à l'exclusion des traitements des données qui révèlent des données sensibles ou à caractère hautement personnel ;
  • Traitements relatifs aux éthylotests, strictement encadrés par un texte et mis en œuvre dans le cadre d'activités de transport aux seules fins d'empêcher les conducteursde conduire un véhicule sous l'influence de l'alcool ou de stupéfiants.

Si la présence d'une opération de traitement sur cette liste dispense de réaliser une analyse d'impact, le responsable de traitement reste soumis à l'ensemble des autres obligations qui lui incombent en application du RGPD et de la loi du 6 janvier 1978, notamment celles énoncées à l'article 32 du RGPD en matière de sécurité du traitement.

Vérifiez la conformité de vos traitements de données RH au RGPD

Informez vos salariés sur leurs droits et obligations