Délibération de la CNIL sur les types d’opérations de traitement n’imposant pas une étude d’impact
L’article 35.5 du RGPD dispose que les autorités de protection des données peuvent établir une liste des traitements pour lesquels, une analyse d’impact relative à la protection des données, n’est pas requise.
Ainsi, la CNIL a adopté sa liste définitive dans une délibération n°2019-118 du 12 septembre 2019.
Cette liste concerne douze types d’opérations de traitement. Il convient de citer les traitements, mis en œuvre uniquement à des fins de ressources humaines et dans des conditions prévues par les textes applicables, pour la seule gestion du personnel des organismes qui emploient moins de 250 personnes, à l’exception du recours au profilage.
Il en va de même des traitements destinés à la gestion des activités des Comités d’Entreprise et d’Etablissement. Il importe, enfin, de citer les traitements mis en œuvre aux seules fins de gestion des contrôles d’accès physiques et des horaires pour le calcul du temps de travail, en dehors de tout dispositif biométrique. A l’exclusion également des traitements de données qui relèvent des données sensibles ou à caractère hautement personnel.
Mais cette liste n’est pas exhaustive. Ainsi, des traitements qui ne présentent pas de risque élevé pour les droits et libertés des personnes physiques ne requièrent pas d’étude d’impact. Toutefois, le Responsable de Traitement reste soumis à l’ensemble des autres obligations du RGPD et de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
La CNIL définit ses priorités pour la période
Cinq axes stratégiques ont été identifiés. Il s’agit de donner la priorité aux enjeux numériques de la vie quotidienne, d’assumer une régulation équilibrée de la protection des données à l’heure du RGPD, de promouvoir une diplomatie de la donnée, d’offrir une expertise juridique de pointe sur le numérique et la cybersécurité et, enfin, incarner un service public innovant et rassemblé autour de ses valeurs.