RGPD : deux délibérations de la CNIL listent les traitements qui nécessitent une analyse d’impact

Délib. CNIL n° 2018-326 et -327, 11 octobre 2018
 
Pour rappel, depuis mai 2018, la collecte des données personnelles relatives aux salariés est encadrée par le Règlement Général de Protection des Données (RGPD). Ce texte impose notamment que certains traitements de données « à risque » (risque élevé pour les droits et libertés des personnes concernées) fassent l’objet d’une analyse d’impact.
 
Deux délibérations de la CNIL publiées au JO le 11 octobre 2018 listent les traitements de données concernés, dont il ressort qu’en font partie les dispositifs de vidéosurveillance constante ou les chronotachygraphes des véhicules de transport routier.
 
La CNIL décrit la méthode suivante afin de réaliser l’étude d’impact :
-          délimiter et décrire le contexte du ou des traitements concernés ;  
-          analyser les mesures mises en place afin de garantir le respect des principes fondamentaux : protection des droits des personnes concernées, proportionnalité et nécessité du traitement ;
-          apprécier les risques du traitement sur la vie privée liés à la sécurité des données et vérifier que ces risques sont convenablement traités ;
-          formaliser la validation de l’analyse d’impact au regard des éléments précédents ou décider de réviser les étapes précédentes.
 
Cette analyse doit avoir lieu avant la mise en œuvre du traitement et doit être mise à jour régulièrement. La publication de l’étude d’impact n’est pas obligatoire et ne doit pas être transmise à la CNIL. L’entreprise doit cependant pouvoir apporter la preuve qu’elle a été réalisée. Il est donc conseillé de la formaliser par un écrit.

A noter

une telle analyse n’est pas exigée pour les traitements qui ont fait l’objet d’une formalité préalable auprès de la CNIL avant le 25 mai 2018.

Attention ! Cette dispense est limitée à une période de 3 ans à l’issue de laquelle elle devra être réalisée si le traitement concerné est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes. L’étude est obligatoire pour tout nouveau traitement mis en œuvre après le 25 mai 2018. 


>> retour aux actualités