Pour qu’une entreprise ou une association respecte le Règlement Général sur la Protection des Données (RGPD), il peut être nécessaire qu’elle réalise une analyse d’impact, qui n’est toutefois pas requise dans certains cas : lesquels ?
RGPD et analyse d’impact : pas obligatoire dans certains cas
Pour qu’une entreprise ou une association soit conforme au Règlement Général sur la Protection des Données (RGPD), il est nécessaire qu’elle réalise une cartographie des données à caractère personnel qu’elle est susceptible de collecter.
Cette étape nécessite de réaliser un inventaire de ses traitements, de les classifier, de déterminer les objectifs poursuivis et d’identifier les acteurs qui traitent ces données.
Selon les résultats de cette cartographie, il peut être opportun de réaliser une analyse d’impact, voire obligatoire dans certaines situations.
Une analyse d’impact se décompose en 3 parties :
- une description détaillée du traitement mis en œuvre ;
- une évaluation justifiant de la nécessité de mettre en œuvre un traitement (finalité recherchée, nature des données collectées, durée de conservation des données, modalités d’information des personnes dont les données sont collectées, etc.) ;
- une étude technique des risques sur la sécurité des données (mesures de confidentialités des données, modalités de mise à disposition des données, etc.), ainsi que leurs impacts sur la vie privée.
La Cnil a publié en 2018 une liste de traitement pour lesquels il est obligatoire de procéder à une analyse d’impact. Vous pouvez la retrouver à l’adresse suivante : https://www.cnil.fr/sites/default/files/atoms/files/liste-traitements-avec-aipd-requise-v2.pdf.
En complément, la Cnil vient de publier une nouvelle liste, mais cette fois-ci concernant les traitements de données pour lesquels il n’est pas nécessaire de faire une analyse d’impact. Il est possible de la consulter sur son site web, à l’adresse suivante : https://www.cnil.fr/fr/liste-traitements-aipd-non-requise.
Certains traitements listés vont particulièrement intéresser les entreprises. En voici quelques-uns, à titre d’exemple.
Selon la Cnil, il n’est pas requis de faire une analyse d’impact, pour les entreprises de moins de 250 salariés, pour les traitements permettant :
- la gestion de la paye et l’émission de bulletins de salaire,
- le remboursement des frais professionnels,
- le contrôle du temps de travail,
- le suivi des entretiens annuels d’évaluation.
La Cnil estime aussi qu’il n’est pas nécessaire de faire une analyse d’impact pour les traitements de gestion de la relation fournisseurs. Sont ici notamment visés, les traitements permettant :
- d’établir les titres de paiement (traites, chèques, billets à ordre, etc.),
- d’entretenir une documentation sur les fournisseurs,
- de fournir des sélections de fournisseurs pour les besoins de l’entreprise.
D’autres traitements ne nécessitant pas d’analyse d’impact vont concerner les comités d’entreprise et d’établissement. Il s’agit notamment des traitements permettant :
- la formation des élus,
- de gérer les programmes socio-culturels de l’entreprise,
- la gestion des agendas et réunions.
D’autres traitements ne nécessitant pas d’analyse d’impact vont intéresser seulement certains secteurs. Ainsi, l’analyse d’impact n’est pas requise pour les traitements suivants :
- les traitements mis en œuvre par une association, une fondation ou toute autre institution sans but lucratif pour la gestion de ses membres et de ses donateurs dans le cadre de ses activités habituelles dès lors que les données ne sont pas sensibles ;
- les traitements de données de santé nécessaires à la prise en charge d’un patient par un professionnel de santé exerçant à titre individuel au sein d’un cabinet médical, d’une officine de pharmacie ou d’un laboratoire de biologie médicale ;
- les traitements mis en œuvre par les avocats dans le cadre de l’exercice de leur profession à titre individuel ;
- les traitements mis en œuvre par les greffiers des tribunaux de commerce aux fins d’exercice de leur activité ;
- les traitements mis en œuvre par les notaires aux fins d’exercice de leur activité notariale et de rédaction des documents des offices notariaux.
Source :
- Délibération n° 2019-118 du 12 septembre 2019 portant adoption de la liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données n’est pas requise
- www.cnil.fr