Articles

Article AUTONOME (Délibération n° 2018-327 du 11 octobre 2018 portant adoption de la liste des types d'opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données est requise)

Article AUTONOME (Délibération n° 2018-327 du 11 octobre 2018 portant adoption de la liste des types d'opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données est requise)


Après avoir entendu les observations de Mme Nacima BELKACEM, commissaire du Gouvernement,
Formule les observations suivantes :
L'article 35.1 du Règlement général relatif à la protection des données (RGPD) prévoit qu'une analyse d'impact relative à la protection des données (AIPD) doit être menée quand un traitement est « susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées ».
L'article 35.3 du RGPD énonce trois types de traitements susceptibles de présenter un risque élevé. Le Comité européen de la protection des données (CEPD) a lui-même identifié neuf critères permettant de caractériser un traitement susceptible d'engendrer un risque élevé.
L'article 35.4 du RGPD impose aux autorités de contrôle d'établir et de publier une liste des types d'opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données est requise.
L'article 35.6 du RGPD prévoit que, lorsque cette liste concerne des « activités de traitements liées à l'offre de biens ou de services à des personnes concernées ou au suivi de leur comportement dans plusieurs Etats membres, ou peuvent affecter sensiblement la libre circulation des données à caractère personnel au sein de l'Union », elle doit être soumise au mécanisme de « contrôle de la cohérence » et doit être communiquée au Comité européen de la protection des données (CEPD).
Le 14 juin 2018, un projet de liste a été adopté par la commission et soumis au CEPD le 6 juillet 2018. Le CEPD a adopté un avis relatif à ce projet le 25 septembre 2018, qui a été notifié à la commission le 2 octobre 2018.
Décide :
De l'adoption de la liste annexée à la présente délibération portant sur les types d'opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données est requise.
Cette liste a un caractère non-exhaustif. Conformément à l'article 35.1 du RGPD, une AIPD devra être réalisée dès lors que le traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques.
Cette liste est basée sur les lignes directrices du CEPD relatives à l'analyse d'impact relative à la protection des données (AIPD) qu'elle vient compléter et préciser pour des traitements spécifiques.
La présente délibération sera publiée au Journal officiel de la République française.