Articles

Article AUTONOME (Délibération n° 2019-118 du 12 septembre 2019 portant adoption de la liste des types d'opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données n'est pas requise)

Article AUTONOME (Délibération n° 2019-118 du 12 septembre 2019 portant adoption de la liste des types d'opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données n'est pas requise)


Après avoir entendu Mme Anne DEBET, commissaire en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations ;
Formule les observations suivantes :
L'article 35.1 du Règlement général relatif à la protection des données (RGPD) prévoit qu'une analyse d'impact relative à la protection des données (AIPD) doit être menée quand un traitement est « susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées ».
L'article 35.5 du RGPD permet aux autorités de contrôle d'établir et de publier une liste des types d'opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données n'est pas requise.
L'article 35.6 du RGPD prévoit que, lorsque cette liste concerne des « activités de traitements liées à l'offre de biens ou de services à des personnes concernées ou au suivi de leur comportement dans plusieurs États membres, ou peuvent affecter sensiblement la libre circulation des données à caractère personnel au sein de l'Union », elle doit être soumise au mécanisme de « contrôle de la cohérence » et doit être communiquée au Comité européen de la protection des données (CEPD).
Le 29 mars 2019, un projet de liste a été adopté par la commission et soumis au CEPD le 3 avril 2019. Le CEPD a adopté un avis relatif à ce projet le 10 juillet 2019, qui a été notifié à la commission le 12 juillet 2019.
Décide :
La liste annexée à la présente délibération, portant sur les types d'opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données n'est pas requise, est adoptée.
Cette liste vient compléter et préciser les lignes directrices adoptées par la commission le 11 octobre 2018.
Si la présence d'une opération de traitement sur la présente liste dispense de réaliser une analyse d'impact, le responsable de traitement reste soumis à l'ensemble des autres obligations qui lui incombent en application du RGPD et de la loi du 6 janvier 1978. Notamment, le fait qu'une activité de traitement relève de cette liste ne signifie pas qu'un responsable de traitement est exempté des obligations énoncées à l'article 32 du RGPD en matière de sécurité du traitement.
La présente délibération sera publiée au Journal officiel de la République française.