Le RGPD prévoit que les autorités de protection des données peuvent établir une liste des traitements pour lesquels une analyse d’impact relative à la protection des données n’est pas obligatoire.
Pour rappel, le RGPD prévoit un régime particulier pour les « traitements à risque » qui sont susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques : une analyse d’impact (c’est-à-dire une analyse de risque) doit être menée préalablement à leur mise en œuvre.
Les traitements devant faire l’objet d’une analyse
Pour le groupe des autorités de contrôle européennes (G29 devenu Comité Européen de Protection des Données ou CEPD), les traitements qui remplissent au moins 2 des 9 critères suivants doivent faire l’objet d’une analyse d’impact : évaluation/scoring (y compris le profilage), décision automatique avec effet légal ou similaire, surveillance systématique, collecte de données sensibles, collecte de données personnelles à large échelle, croisement de données, personnes vulnérables (patients, personnes âgées, enfants, etc.), usage innovant (utilisation d’une nouvelle technologie), exclusion du bénéfice d’un droit/contrat.
Sur la base de ces critères, la CNIL avait indiqué sur son site internet que la mise en place d’un système de contrôle de l’activité des salariés imposait une analyse d’impact dès lors que ce traitement implique une surveillance systématique et concerne des personnes « vulnérables » au sens des lignes directrices du CEPD. Au mois de novembre 2018, la CNIL a également adopté une liste des traitements pour lesquels une analyse d’impact est obligatoire (exemple : traitements RH avec recours à des données biométriques, …).
Les exceptions définies par la CNIL
Cette fois, la CNIL précise les traitements pour lesquels elle n’estime pas nécessaire qu’une analyse d’impact soit réalisée :
- la gestion de la paye, l’émission des bulletins de salaire ;
- la gestion des formations ;
- la gestion du restaurant d’entreprise, la délivrance des chèques repas ;
- le remboursement des frais professionnels ;
- le suivi des entretiens annuels d’évaluation ;
- la tenue des registres obligatoires ;
- l’utilisation d’outils de communication (messagerie électronique, téléphonie, vidéoconférences, outils collaboratifs en ligne) sans recours au profilage ni à la biométrie ;
- le contrôle du temps de travail (sans dispositif biométrique, sans données sensibles ni à caractère hautement personnel).
Attention ! La CNIL précise que l’analyse d’impact n’est pas requise pour ces traitements, sous réserve qu’ils soient mis en place au sein d’organismes employant moins de 250 salariés ou qu’ils n’impliquent pas le recours au profilage. A contrario, les d’organismes employant plus de 250 salariés devraient donc être tenus de réaliser une étude d’impact en cas de mise en place de traitements de ce type.
Enfin, précisons que cette liste n’est pas exhaustive selon la CNIL : des traitements n’y figurant pas peuvent donc également ne pas nécessiter une analyse d’impact. C’est le cas de traitements qui ne présentent pas de risque élevé pour les droits et libertés des personnes physiques sur la base des critères issus des lignes directrices du CEPD.
