La liste des traitements du CEDP dispensés de l’étude d’impact sur la vie privée imposée par la CNIL

traitement-informatique

En application de l’article 35 du Règlement Général sur la Protection des Données (RGPD), la Commission Nationale de l’Informatique et Libertés (CNIL) a soumis le 20 mai 2019 une liste des traitements de données personnelles exempts de l’analyse d’impact sur la vie privée à la Commission européenne pour la protection des données (CEPD).

En effet, mener une analyse d’impact sur la vie privée est une obligation du RGPD, qui stipule que : « Lorsqu’une certaine méthode de traitement peut présenter un risque élevé pour les droits et libertés des personnes concernées, le responsable du traitement doit effectuer une analyse d’impact sur le traitement en question. »

Si le RGPD fournit des informations détaillées sur les types de traitement pouvant avoir un impact sur la protection de la vie privée en compromettant la sécurité des données, il laisse la possibilité à chaque État membre de l’Union européenne de déterminer la liste des opérations à effectuer.

Par conséquent, chaque autorité de contrôle a le droit de publier une liste d’exemptions. Ces listes doivent être soumises à la Commission européenne de protection des données pour commentaires avant d’être adoptées. Dans ce contexte, la CNIL a publié une liste de traitements nécessitant une analyse d’impact le 11 octobre 2018. Solliciter une agence RGPD peut ainsi s’avérer indispensable.

Pour poursuivre le processus d’encadrement de cette nouvelle obligation, la CNIL a soumis au CEPD une liste des traitements exemptés de l’analyse d’impact le 20 mai 2019 et le CEPD a rendu un avis le 20 juin 2019.

Avant d’analyser les traitements non pris en compte, il convient de noter qu’à cette date, le CEPD a rendu ses avis sur les listes d’exemption de la France, de la République tchèque et de l’Espagne. Dans le cadre de ces avis, l’analyse du CEPD se fonde sur les conditions nationales et considère principalement les législations nationales des pays concernés. Il veille cependant à ce qu’il n’y ait pas de conflits entre les États-membres qui pourraient affecter négativement les objectifs de coordination recherchés par le RGPD.

PIA CNIL : les traitements exemptés de l’analyse d’impact

Les traitements considérés comme vérifiés par le CEPD sont soumis à des recommandations visant à limiter leur portée. Ceux qui ne sont pas exemptés des recommandations du CEPD et qui ne nécessitent donc pas le recours à un outil rgpd sont les suivants :

  • Les traitements réalisés dans les conditions prévues par la loi sur la gestion électorale du registre électoral des municipalités.
  • Les traitements réalisés par les greffiers des tribunaux de commerce pour exécuter leurs missions.
  • Les traitements réalisés par les notaires pour exercer leur activité notariale et rédiger les actes notariés.
  • Les traitements réalisés par les autorités locales et les personnes morales couvertes par le droit privé et le droit public pour gérer les écoles, les services de la petite enfance et les activités extrascolaires.
  • Les traitements effectués à des fins de ressources humaines dans les entreprises comptant moins de 250 salariés et qui répondent à une obligation légale.

Cette première liste implique davantage les types d’opérations de traitement réalisés par les autorités locales, les traitements obligatoires des ressources humaines et les services administratifs. On constate ainsi que la base légale d’un traitement a un rôle majeur dans le raisonnement du CEPD.  Cependant, il a formulé des recommandations spécifiques pour trois types de traitement :

Les traitements aux tachygraphes et aux éthylotests réalisés dans les pays de l’UE dans le cadre des activités de transport

Le CEPD note que ces traitements peuvent engendrer un risque élevé sur la vie privée des personnes et de la santé publique. Il émet ainsi 3 recommandations à la CNIL, nécessitant alors l’usage d’un logiciel pia :

  • Limiter l’exemption aux situations dans lesquelles le traitement de ces données est obligatoire.
  • Limiter l’usage des données personnelles de l’alcootest à d’autres finalités du traitement (autre que le fait d’empêcher les conducteurs sous l’influence de stupéfiants ou d’alcool de prendre le volant).
  • Ne plus traiter les données concernant la consommation de tachygraphes de la liste.

Les traitements liés uniquement à la gestion des plannings et des contrôles d’accès, sauf usage de dispositif biométrique

Pour encadrer cette exception, le CEPD a émis 3 recommandations :

  • Limiter l’exception au traitement de données qui ne révèlent pas des données à caractère très personnel ou des données sensibles.
  • Limiter le champ d’application aux activités de traitement en utilisant des mécanismes standard de contrôle d’accès physique et non biométriques.
  • Limiter l’exception aux opérations de traitement des données qui visent à calculer le temps de travail.

Les traitements réalisés pour le recouvrement de ses dettes pour son compte

Le CEPD estime que les activités réalisées dans le cadre du recouvrement des créances peuvent présenter un risque pour la vie privée. Il a adressé ces recommandations à la CNIL :

  • Limiter l’exception aux dettes contractées dans une relation d’affaire avec le consommateur, sauf pour les activités de traitement de données personnelles qui concernent les créances obtenues auprès d’un tiers.
  • Exclure la notation et l’évaluation du champ d’application de l’exemption.

Les conséquences tirées de l’avis du CEPD

De cet avis, on peut conclure que les opérations de traitement de données à caractère personnel impliquant des activités d’entreprise sont rarement concernées. Pour le traitement de données à des finalités de ressources humaines, seuls les TPE et les PME peuvent en bénéficier. Les grands groupes ne pourront s’en servir que de façon systématique. Cela confirme l’idée que le traitement de données personnelles à grande échelle peut présenter des risques pour la vie privée tel que le profilage des données personnelles.

En ce qui concerne la portée de cet avis, le CEPD a précisé que le fait que les opérations de traitement soient incluses sur la liste d’exemption ne signifie pas que le responsable du traitement est exempté des obligations. Par conséquent, les autorités de contrôle doivent évaluer les risques, la probabilité et la gravité des droits et libertés des personnes physiques, afin de garantir qu’une sécurité adéquate est obtenue conformément à l’article 32 de la loi pénale pour faire face aux risques. Les processus qui ne sont pas soumis aux analyses d’impact doivent toujours être conformes au nouveau Règlement européen.

Avant que la CNIL ne publie officiellement la liste, les responsables de traitement des données personnelles et les sous-traitants peuvent déjà analyser leur registre des traitements et identifier tous ceux qui peuvent appartenir à cette liste.