Le règlement européen général relatif à la protection des données (RGPD) prévoit qu'une analyse d'impact doit être menée quand un traitement est « susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées » (art. 35, 1). Les autorités de contrôle, telles que la Cnil, peuvent établir et publier une liste des types d'opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données n'est pas requise (art. 35, 5).
Cette liste a été publiée. Sont notamment concernés les traitements de gestion des relations avec les fournisseurs, ceux mis en œuvre par les avocats dans le cadre de l'exercice de leur profession à titre individuel ou par les notaires pour l'exercice de leur activité notariale et de rédaction des documents des offices notariaux, ou encore ceux mis en œuvre à des fins de ressources humaines pour la seule gestion du personnel des organismes qui emploient moins de 250 personnes, à l'exception du recours au profilage.
A noter : La Cnil a également établi la liste des types d'opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données est au contraire requise (Délib. Cnil 2018-327 du 11-10-2018 : JO 6-11 texte n° 82).
Pour les traitements ne figurant pas sur ces deux listes, la Cnil a élaboré des lignes directrices permettant de déterminer si un traitement nécessite une analyse d’impact (Délib. Cnil 2018-326 du 11-10-2018 : JO 6-11 texte n° 81).
Dominique LOYER-BOUEZ
Pour en savoir plus sur cette question : voir Mémento concurrence consommation n° 17316
