Après avoir listé les opérations de traitement des données personnelles qui nécessitent une étude d’impact, la CNIL liste les opérations pour lesquelles une analyse d’impact relative à la protection des données n’est pas requise (Délib. Cnil 2019-119 du 12 septembre 2019 : JO 22-10).
Pour rappel, l'analyse d’impact relative à la protection des données (AIPD) est obligatoire pour les traitements susceptibles d’engendrer des risques élevés pour la vie privée. Elle se décompose en trois parties :
- la description détaillée du traitement mis en œuvre (aspects techniques et opérationnels) ;
- l’évaluation, de nature plus juridique, de la nécessité et de la proportionnalité concernant les principes et droits fondamentaux (finalité, données et durées de conservation, information et droits des personnes, etc.) ;
- l’étude, de nature plus technique, des risques sur la sécurité des données (confidentialité, intégrité et disponibilité).
Une AIPD n'est donc pas nécessaire pour les traitements suivants :
- Traitements, mis en œuvre uniquement à des fins de ressources humaines et dans les conditions prévues par les textes applicables, pour la seule gestion du personnel des organismes qui emploient moins de 250 personnes, à l'exception du recours au profilage ;
- Traitements mis en œuvre aux seules fins de gestion des contrôles d'accès physiques et des horaires pour le calcul du temps de travail, en dehors de tout dispositif biométrique. A l'exclusion des traitements des données qui révèlent des données sensibles ou à caractère hautement personnel ;
- Traitements relatifs aux éthylotests, strictement encadrés par un texte et mis en œuvre dans le cadre d'activités de transport aux seules fins d'empêcher les conducteurs de conduire un véhicule sous l'influence de l'alcool ou de stupéfiants.
Comments