RGPD : publication d’une liste des types d'opérations de traitement pour lesquelles une AIPD est requise


Rappel :

Le RGPD prévoit qu’une analyse d’impact de protection des données (« AIPD ») doit être effectuée lorsqu’un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques. Il liste trois types de traitements susceptibles de présenter un risque élevé :

- l'évaluation systématique et approfondie d'aspects personnels fondée sur un traitement automatisé et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l'égard d'une personne physique ou l'affectant de manière significative de façon similaire ;

- le traitement à grande échelle de données sensibles ou relatives à des condamnations pénales et des infractions ;

- la surveillance systématique à grande échelle d'une zone accessible au public.

Le Comité européen à la protection des données (CEPD) a également identifié 9 critères permettant de caractériser les traitements pouvant entrainer un risque élevé : 1° évaluation/scoring (y compris le profilage) ; 2° décision automatique avec effet légal ou similaire ; 3° surveillance systématique ; 4° collecte de données sensibles ou données à caractère hautement personnel ; 5° collecte de données personnelles à large échelle ; 6° croisement de données ; 7° personnes vulnérables (patients, personnes âgées, enfants, etc.) ; 8° usage innovant (utilisation d’une nouvelle technologie) ; 9° exclusion du bénéfice d’un droit/contrat.

La CNIL considère que si un traitement remplit au moins 2 de ces 9 critères, une AIPD doit être effectuée. A défaut d’analyse dans un tel cas, le responsable de traitements devra être en mesure de justifier pourquoi il ne l’a pas réalisée.

Nouveauté :

Le RGPD impose aux États d’établir une liste de traitements pour lesquels une analyse d’impact serait requise. La CNIL vient de préciser 14 types d’opération de traitement concernés par l’AIPD. Parmi ces 14 types d’opération de traitement, trois peuvent concerner les RH :

- traitements établissant des profils de personnes physiques à des fins de gestion des ressources humaines (exemples : traitement de détection et de gestion de « hauts potentiels » ; traitement visant à faciliter le recrutement, notamment grâce à un algorithme de sélection ; traitement visant à proposer des actions de formations personnalisées grâce à un algorithme ; traitement visant à détecter et à prévenir les départs de salariés sur la base de corrélations établies entre divers facteurs) ;

- traitements ayant pour finalité de surveiller de manière constante l’activité des employés concernés (exemples : dispositif de cyber surveillance tels que ceux procédant à une analyse des flux de courriels sortants afin de détecter d’éventuelles fuites d’information (dispositifs dits de Data Loss Prevention) ; vidéosurveillance portant sur les employés manipulant de l’argent ; vidéosurveillance d’un entrepôt stockant des biens de valeur au sein duquel travaillent des manutentionnaires ; chronotachygraphe des véhicules de transport routier) ;

- traitements ayant pour finalité la gestion des alertes et des signalements en matière professionnelle (exemple : dispositif de recueil d’alertes professionnelles pour les organismes privés ou publics concernés).

La CNIL précise que cette liste n’est pas exhaustive et qu’elle sera régulièrement revue. Elle ajoute qu’elle adoptera prochainement la liste des traitements pour lesquels aucune AIPD n’est requise.

NB : l’AIPD doit être menée avant la mise en œuvre du traitement. Elle est ensuite revue régulièrement, au minimum tous les 3 ans, pour s'assurer que le niveau de risque reste acceptable. Elle contient a minima :

- une description systématique des opérations de traitement envisagées et les finalités du traitement, y compris, le cas échéant, l'intérêt légitime poursuivi par le responsable du traitement ;

- une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités ;

- une évaluation des risques sur les droits et libertés des personnes concernées ;

- les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du règlement.


(Publiée le 27 novembre 2018)



Retour