SlideShare une entreprise Scribd logo

CNIL et RGPD : liste des traitements soumis à l'AIPD

Société Tripalio
Société Tripalio

Délibération de la CNIL dressant la liste des traitements de données personnelles soumis à l'AIPD

Gouvernement et associations à but non lucratif
1  sur  2
Télécharger pour lire hors ligne
Commission nationale de l’informatique et des libertés Délibération no 2018-327 du 11 octobre 2018 portant adoption de la liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise NOR : CNIL1829647X La Commission nationale de l’informatique et des libertés, Vu la convention no 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ; Vu le règlement (UE) 2016/679 du parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, notamment son article 35 ; Vu la loi no 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ; Vu le décret no 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ; Vu les lignes directrices concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est « susceptible d’engendrer un risque élevé » aux fins du règlement (UE) 2016/679 adoptées le 4 avril 2017 ; Vu l’avis 9/2018 du Comité européen de la protection des données relatif au projet de liste de l’autorité de contrôle française portant sur les types d’opération de traitements pour lesquelles une analyse d’impact relative à la protection des données (article 35.4 du RGPD), adopté le 25 septembre 2018 ; Après avoir entendu les observations de Mme Nacima BELKACEM, commissaire du Gouvernement, Formule les observations suivantes : L’article 35.1 du Règlement général relatif à la protection des données (RGPD) prévoit qu’une analyse d’impact relative à la protection des données (AIPD) doit être menée quand un traitement est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées ». L’article 35.3 du RGPD énonce trois types de traitements susceptibles de présenter un risque élevé. Le Comité européen de la protection des données (CEPD) a lui-même identifié neuf critères permettant de caractériser un traitement susceptible d’engendrer un risque élevé. L’article 35.4 du RGPD impose aux autorités de contrôle d’établir et de publier une liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise. L’article 35.6 du RGPD prévoit que, lorsque cette liste concerne des « activités de traitements liées à l’offre de biens ou de services à des personnes concernées ou au suivi de leur comportement dans plusieurs Etats membres, ou peuvent affecter sensiblement la libre circulation des données à caractère personnel au sein de l’Union », elle doit être soumise au mécanisme de « contrôle de la cohérence » et doit être communiquée au Comité européen de la protection des données (CEPD). Le 14 juin 2018, un projet de liste a été adopté par la commission et soumis au CEPD le 6 juillet 2018. Le CEPD a adopté un avis relatif à ce projet le 25 septembre 2018, qui a été notifié à la commission le 2 octobre 2018. Décide : De l’adoption de la liste annexée à la présente délibération portant sur les types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise. Cette liste a un caractère non-exhaustif. Conformément à l’article 35.1 du RGPD, une AIPD devra être réalisée dès lors que le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques. Cette liste est basée sur les lignes directrices du CEPD relatives à l’analyse d’impact relative à la protection des données (AIPD) qu’elle vient compléter et préciser pour des traitements spécifiques. La présente délibération sera publiée au Journal officiel de la République française. La présidente, I. FALQUE-PIERROTIN 6 novembre 2018 JOURNAL OFFICIEL DE LA RÉPUBLIQUE FRANÇAISE Texte 82 sur 134
ANNEXE LISTE DES TYPES D’OPÉRATIONS DE TRAITEMENT POUR LESQUELLES UNE ANALYSE D’IMPACT RELATIVE À LA PROTECTION DES DONNÉES EST REQUISE Types d’opérations de traitement Critères issus des lignes directrices du CEPD qu’ils remplissent Traitements de données de santé mis en œuvre par les établissements de santé ou les établissements médico-sociaux pour la prise en charge des personnes – collecte de données sensibles – personnes dites « vulnérables » Traitements portant sur des données génétiques de personnes dites « vulnérables » (patients, employés, enfants, etc.) – collecte de données sensibles – personnes dites « vulnérables » Traitements établissant des profils de personnes physiques à des fins de gestion des ressources humaines – évaluation ou notation – personnes dites « vulnérables » Traitements ayant pour finalité de surveiller de manière constante l’activité des employés concernés – personnes dites « vulnérables » – surveillance systématique Traitements ayant pour finalité la gestion des alertes et des signalements en matière sociale et sanitaire – personnes dites « vulnérables » – évaluation ou notation – collecte de données sensibles Traitements ayant pour finalité la gestion des alertes et des signalements en matière professionnelle – personnes dites « vulnérables » – évaluation ou notation – collecte de données sensibles Traitements des données de santé nécessaires à la constitution d’un entrepôt de données ou d’un registre – collecte de données sensibles – personnes dites « vulnérables » Traitements impliquant le profilage des personnes pouvant aboutir à leur exclusion du bénéfice d’un contrat ou à la suspension voire à la rupture de celui-ci – évaluation ou notation – croisement ou combinaison d’ensembles de données Traitements mutualisés de manquements contractuels constatés, susceptibles d’aboutir à une décision d’exclusion ou de suspension du bénéfice d’un contrat – croisement ou combinaison d’ensembles de données – prise de décision automatisée avec effet juridique ou effet similaire significatif Traitements de profilage faisant appel à des données provenant de sources externes – évaluation ou notation – croisement ou combinaison d’ensembles de données Traitements de données biométriques aux fins de reconnaissance des personnes parmi lesquelles figurent des personnes dites « vulnérables » (élèves, personnes âgées, patients, demandeurs d’asile, etc.) – collecte de données sensibles – personnes dites « vulnérables » Instruction des demandes et gestion des logements sociaux – collecte de données sensibles – évaluation ou notation Traitements ayant pour finalité l’accompagnement social ou médico-social des personnes – collecte de données sensibles – évaluation ou notation – personnes dites « vulnérables » Traitements de données de localisation à large échelle – collecte de données sensibles – données traitées à grande échelle 6 novembre 2018 JOURNAL OFFICIEL DE LA RÉPUBLIQUE FRANÇAISE Texte 82 sur 134

Recommandé

analyse d’impact relative à la protection des données (DPIA)
analyse d’impact relative à la protection des données (DPIA)analyse d’impact relative à la protection des données (DPIA)
analyse d’impact relative à la protection des données (DPIA)
Market iT
 
Référentiel CNIL système alertes professionnelles
Référentiel CNIL système alertes professionnellesRéférentiel CNIL système alertes professionnelles
Référentiel CNIL système alertes professionnelles
Société Tripalio
 
CNIL et RGPD : lignes directrices des Analyses d'Impact relatives à la Protec...
CNIL et RGPD : lignes directrices des Analyses d'Impact relatives à la Protec...CNIL et RGPD : lignes directrices des Analyses d'Impact relatives à la Protec...
CNIL et RGPD : lignes directrices des Analyses d'Impact relatives à la Protec...
Société Tripalio
 
protection des données
protection des donnéesprotection des données
protection des données
SabriElBeya
 
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
ASIP Santé
 
Decret donnees de sante et donnees personnelles
Decret donnees de sante et donnees personnellesDecret donnees de sante et donnees personnelles
Decret donnees de sante et donnees personnelles
Société Tripalio
 
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPD
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPDFiche pratique CCI France Règlement Général sur la Protection des Données RGPD
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPD
polenumerique33
 
Rapport annuelannexes 2018
Rapport annuelannexes 2018Rapport annuelannexes 2018
Rapport annuelannexes 2018
Paperjam_redaction
 

Recommandé

analyse d’impact relative à la protection des données (DPIA)
analyse d’impact relative à la protection des données (DPIA)analyse d’impact relative à la protection des données (DPIA)
analyse d’impact relative à la protection des données (DPIA)
Market iT
 
Référentiel CNIL système alertes professionnelles
Référentiel CNIL système alertes professionnellesRéférentiel CNIL système alertes professionnelles
Référentiel CNIL système alertes professionnelles
Société Tripalio
 
CNIL et RGPD : lignes directrices des Analyses d'Impact relatives à la Protec...
CNIL et RGPD : lignes directrices des Analyses d'Impact relatives à la Protec...CNIL et RGPD : lignes directrices des Analyses d'Impact relatives à la Protec...
CNIL et RGPD : lignes directrices des Analyses d'Impact relatives à la Protec...
Société Tripalio
 
protection des données
protection des donnéesprotection des données
protection des données
SabriElBeya
 
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
ASIP Santé
 
Decret donnees de sante et donnees personnelles
Decret donnees de sante et donnees personnellesDecret donnees de sante et donnees personnelles
Decret donnees de sante et donnees personnelles
Société Tripalio
 
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPD
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPDFiche pratique CCI France Règlement Général sur la Protection des Données RGPD
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPD
polenumerique33
 
Rapport annuelannexes 2018
Rapport annuelannexes 2018Rapport annuelannexes 2018
Rapport annuelannexes 2018
Paperjam_redaction
 
Protection des données : Mise en demeure de la CNAM par la CNIL
Protection des données : Mise en demeure de la CNAM par la CNILProtection des données : Mise en demeure de la CNAM par la CNIL
Protection des données : Mise en demeure de la CNAM par la CNIL
Société Tripalio
 
Conférence Maître LAMACHI-ELKILANI ACSS 2018
Conférence Maître LAMACHI-ELKILANI ACSS 2018Conférence Maître LAMACHI-ELKILANI ACSS 2018
Conférence Maître LAMACHI-ELKILANI ACSS 2018
African Cyber Security Summit
 
Protection des données personnelles : projet de loi
Protection des données personnelles : projet de loiProtection des données personnelles : projet de loi
Protection des données personnelles : projet de loi
Société Tripalio
 
Open Data, protection des données personnelles et de la vie privée
Open Data, protection des données personnelles et de la vie privéeOpen Data, protection des données personnelles et de la vie privée
Open Data, protection des données personnelles et de la vie privée
Florence Bonnet
 
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
Niji
 
Rgpd depuis le 25 mai 2018 quelles obligations pour les entreprises
Rgpd depuis le 25 mai 2018 quelles obligations pour les entreprisesRgpd depuis le 25 mai 2018 quelles obligations pour les entreprises
Rgpd depuis le 25 mai 2018 quelles obligations pour les entreprises
Mika PELAN
 
Données de santé & RGPD (Règlement Général sur la Protection des Données Per...
Données de santé & RGPD (Règlement Général sur la Protection des Données Per...Données de santé & RGPD (Règlement Général sur la Protection des Données Per...
Données de santé & RGPD (Règlement Général sur la Protection des Données Per...
CEEDFormation
 
GDPR COMPLIANT : LE GUIDE PRATIQUE
GDPR COMPLIANT : LE GUIDE PRATIQUEGDPR COMPLIANT : LE GUIDE PRATIQUE
GDPR COMPLIANT : LE GUIDE PRATIQUE
Umanis
 
earlegal#9 - RGPD : Comment réaliser une analyse d impact.pptx
earlegal#9 - RGPD : Comment réaliser une analyse d impact.pptxearlegal#9 - RGPD : Comment réaliser une analyse d impact.pptx
earlegal#9 - RGPD : Comment réaliser une analyse d impact.pptx
Lexing - Belgium
 
20170428 - Le Point - Protection des données à caractère personnel - CRIDS
20170428 - Le Point - Protection des données à caractère personnel - CRIDS20170428 - Le Point - Protection des données à caractère personnel - CRIDS
20170428 - Le Point - Protection des données à caractère personnel - CRIDS
Interface ULg, LIEGE science park
 
Glossaire-RGPD_FR.pdf
Glossaire-RGPD_FR.pdfGlossaire-RGPD_FR.pdf
Glossaire-RGPD_FR.pdf
REFAIBOX
 
Le traitement des données sensibles
Le traitement des données sensiblesLe traitement des données sensibles
Le traitement des données sensibles
Market iT
 
Données personnelles : nouveaux référentiels de délivrance de Labels CNIL
Données personnelles : nouveaux référentiels de délivrance de Labels CNILDonnées personnelles : nouveaux référentiels de délivrance de Labels CNIL
Données personnelles : nouveaux référentiels de délivrance de Labels CNIL
Société Tripalio
 
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Johan-André Jeanville
 
Free Sample : Le RGPD-GDPR les fondamentaux
Free Sample : Le RGPD-GDPR les fondamentauxFree Sample : Le RGPD-GDPR les fondamentaux
Free Sample : Le RGPD-GDPR les fondamentaux
Michael DI ROCCO
 
Gestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligationsGestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligations
Claranet
 
Gdpr pour éditeurs et utilisateurs
Gdpr pour éditeurs et utilisateursGdpr pour éditeurs et utilisateurs
Gdpr pour éditeurs et utilisateurs
Bernard LAMON
 
2016-05-26 ASIP Santé Ateliers PHW16 "La réforme du cadre juridique de la pro...
2016-05-26 ASIP Santé Ateliers PHW16 "La réforme du cadre juridique de la pro...2016-05-26 ASIP Santé Ateliers PHW16 "La réforme du cadre juridique de la pro...
2016-05-26 ASIP Santé Ateliers PHW16 "La réforme du cadre juridique de la pro...
ASIP Santé
 
Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...
Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...
Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...
African Cyber Security Summit
 
droit.ppt
droit.pptdroit.ppt
droit.ppt
YnesZid
 
Documents officiels du dossier Epstein, délivrés par la Justice
Documents officiels du dossier Epstein, délivrés par la JusticeDocuments officiels du dossier Epstein, délivrés par la Justice
Documents officiels du dossier Epstein, délivrés par la Justice
Société Tripalio
 
Charte du candidat Prenons-nous en main pour 2024
Charte du candidat Prenons-nous en main pour 2024Charte du candidat Prenons-nous en main pour 2024
Charte du candidat Prenons-nous en main pour 2024
Société Tripalio
 

Contenu connexe

Similaire à CNIL et RGPD : liste des traitements soumis à l'AIPD

GDPR COMPLIANT : LE GUIDE PRATIQUE
GDPR COMPLIANT : LE GUIDE PRATIQUEGDPR COMPLIANT : LE GUIDE PRATIQUE
GDPR COMPLIANT : LE GUIDE PRATIQUE
Umanis
 
Free Sample : Le RGPD-GDPR les fondamentaux
Free Sample : Le RGPD-GDPR les fondamentauxFree Sample : Le RGPD-GDPR les fondamentaux
Free Sample : Le RGPD-GDPR les fondamentaux
Michael DI ROCCO
 
Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...
Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...
Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...
African Cyber Security Summit
 

Similaire à CNIL et RGPD : liste des traitements soumis à l'AIPD (20)

Protection des données : Mise en demeure de la CNAM par la CNIL
Protection des données : Mise en demeure de la CNAM par la CNILProtection des données : Mise en demeure de la CNAM par la CNIL
Protection des données : Mise en demeure de la CNAM par la CNIL
 
Conférence Maître LAMACHI-ELKILANI ACSS 2018
Conférence Maître LAMACHI-ELKILANI ACSS 2018Conférence Maître LAMACHI-ELKILANI ACSS 2018
Conférence Maître LAMACHI-ELKILANI ACSS 2018
 
Protection des données personnelles : projet de loi
Protection des données personnelles : projet de loiProtection des données personnelles : projet de loi
Protection des données personnelles : projet de loi
 
Open Data, protection des données personnelles et de la vie privée
Open Data, protection des données personnelles et de la vie privéeOpen Data, protection des données personnelles et de la vie privée
Open Data, protection des données personnelles et de la vie privée
 
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
 
Rgpd depuis le 25 mai 2018 quelles obligations pour les entreprises
Rgpd depuis le 25 mai 2018 quelles obligations pour les entreprisesRgpd depuis le 25 mai 2018 quelles obligations pour les entreprises
Rgpd depuis le 25 mai 2018 quelles obligations pour les entreprises
 
Données de santé & RGPD (Règlement Général sur la Protection des Données Per...
Données de santé & RGPD (Règlement Général sur la Protection des Données Per...Données de santé & RGPD (Règlement Général sur la Protection des Données Per...
Données de santé & RGPD (Règlement Général sur la Protection des Données Per...
 
GDPR COMPLIANT : LE GUIDE PRATIQUE
GDPR COMPLIANT : LE GUIDE PRATIQUEGDPR COMPLIANT : LE GUIDE PRATIQUE
GDPR COMPLIANT : LE GUIDE PRATIQUE
 
earlegal#9 - RGPD : Comment réaliser une analyse d impact.pptx
earlegal#9 - RGPD : Comment réaliser une analyse d impact.pptxearlegal#9 - RGPD : Comment réaliser une analyse d impact.pptx
earlegal#9 - RGPD : Comment réaliser une analyse d impact.pptx
 
20170428 - Le Point - Protection des données à caractère personnel - CRIDS
20170428 - Le Point - Protection des données à caractère personnel - CRIDS20170428 - Le Point - Protection des données à caractère personnel - CRIDS
20170428 - Le Point - Protection des données à caractère personnel - CRIDS
 
Glossaire-RGPD_FR.pdf
Glossaire-RGPD_FR.pdfGlossaire-RGPD_FR.pdf
Glossaire-RGPD_FR.pdf
 
Le traitement des données sensibles
Le traitement des données sensiblesLe traitement des données sensibles
Le traitement des données sensibles
 
Données personnelles : nouveaux référentiels de délivrance de Labels CNIL
Données personnelles : nouveaux référentiels de délivrance de Labels CNILDonnées personnelles : nouveaux référentiels de délivrance de Labels CNIL
Données personnelles : nouveaux référentiels de délivrance de Labels CNIL
 
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
 
Free Sample : Le RGPD-GDPR les fondamentaux
Free Sample : Le RGPD-GDPR les fondamentauxFree Sample : Le RGPD-GDPR les fondamentaux
Free Sample : Le RGPD-GDPR les fondamentaux
 
Gestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligationsGestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligations
 
Gdpr pour éditeurs et utilisateurs
Gdpr pour éditeurs et utilisateursGdpr pour éditeurs et utilisateurs
Gdpr pour éditeurs et utilisateurs
 
2016-05-26 ASIP Santé Ateliers PHW16 "La réforme du cadre juridique de la pro...
2016-05-26 ASIP Santé Ateliers PHW16 "La réforme du cadre juridique de la pro...2016-05-26 ASIP Santé Ateliers PHW16 "La réforme du cadre juridique de la pro...
2016-05-26 ASIP Santé Ateliers PHW16 "La réforme du cadre juridique de la pro...
 
Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...
Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...
Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...
 
droit.ppt
droit.pptdroit.ppt
droit.ppt
 

Plus de Société Tripalio

Plus de Société Tripalio (20)

Documents officiels du dossier Epstein, délivrés par la Justice
Documents officiels du dossier Epstein, délivrés par la JusticeDocuments officiels du dossier Epstein, délivrés par la Justice
Documents officiels du dossier Epstein, délivrés par la Justice
 
Charte du candidat Prenons-nous en main pour 2024
Charte du candidat Prenons-nous en main pour 2024Charte du candidat Prenons-nous en main pour 2024
Charte du candidat Prenons-nous en main pour 2024
 
Prenons-nous en main 2024 : le programme !
Prenons-nous en main 2024 : le programme !Prenons-nous en main 2024 : le programme !
Prenons-nous en main 2024 : le programme !
 
Conclusions de la COP 28 de Dubai, décembre 2023
Conclusions de la COP 28 de Dubai, décembre 2023Conclusions de la COP 28 de Dubai, décembre 2023
Conclusions de la COP 28 de Dubai, décembre 2023
 
Rapport AME 04122023_vf.pdf
Rapport AME 04122023_vf.pdfRapport AME 04122023_vf.pdf
Rapport AME 04122023_vf.pdf
 
l16t0197_texte-adopte-seance.pdf
l16t0197_texte-adopte-seance.pdfl16t0197_texte-adopte-seance.pdf
l16t0197_texte-adopte-seance.pdf
 
ecb.sp231121_1~8df317dc17.en.pdf
ecb.sp231121_1~8df317dc17.en.pdfecb.sp231121_1~8df317dc17.en.pdf
ecb.sp231121_1~8df317dc17.en.pdf
 
ST-15732-2023-INIT_fr.pdf
ST-15732-2023-INIT_fr.pdfST-15732-2023-INIT_fr.pdf
ST-15732-2023-INIT_fr.pdf
 
ST-15631-2023-INIT_en.pdf
ST-15631-2023-INIT_en.pdfST-15631-2023-INIT_en.pdf
ST-15631-2023-INIT_en.pdf
 
2023-11-14-allocution-laurent-fabius (1).pdf
2023-11-14-allocution-laurent-fabius (1).pdf2023-11-14-allocution-laurent-fabius (1).pdf
2023-11-14-allocution-laurent-fabius (1).pdf
 
RCP pfizer octobre 2023 anx_160809_fr.pdf
RCP pfizer octobre 2023 anx_160809_fr.pdfRCP pfizer octobre 2023 anx_160809_fr.pdf
RCP pfizer octobre 2023 anx_160809_fr.pdf
 
Circulaire_relative_à_la_lutte_contre_les_infractions_susceptibles_d'être_c...
Circulaire_relative_à_la_lutte_contre_les_infractions_susceptibles_d'être_c...Circulaire_relative_à_la_lutte_contre_les_infractions_susceptibles_d'être_c...
Circulaire_relative_à_la_lutte_contre_les_infractions_susceptibles_d'être_c...
 
pjl22-434.pdf
pjl22-434.pdfpjl22-434.pdf
pjl22-434.pdf
 
Guide AMF prospectus.pdf
Guide AMF prospectus.pdfGuide AMF prospectus.pdf
Guide AMF prospectus.pdf
 
Budget de la Présidence
Budget de la PrésidenceBudget de la Présidence
Budget de la Présidence
 
PLAN DE GOBIERNO - JM.pdf
PLAN DE GOBIERNO - JM.pdfPLAN DE GOBIERNO - JM.pdf
PLAN DE GOBIERNO - JM.pdf
 
Dr Broussalian réponse pour Olivier Soulier.pdf
Dr Broussalian réponse pour Olivier Soulier.pdfDr Broussalian réponse pour Olivier Soulier.pdf
Dr Broussalian réponse pour Olivier Soulier.pdf
 
dffe1cf9ec241b5152a8688602d58ff1e640e4c1.pdf
dffe1cf9ec241b5152a8688602d58ff1e640e4c1.pdfdffe1cf9ec241b5152a8688602d58ff1e640e4c1.pdf
dffe1cf9ec241b5152a8688602d58ff1e640e4c1.pdf
 
2023-incidences-economiques-rapport-pisani-5juin.pdf
2023-incidences-economiques-rapport-pisani-5juin.pdf2023-incidences-economiques-rapport-pisani-5juin.pdf
2023-incidences-economiques-rapport-pisani-5juin.pdf
 
COM_2023_610_1_FR.PDF
COM_2023_610_1_FR.PDFCOM_2023_610_1_FR.PDF
COM_2023_610_1_FR.PDF
 

CNIL et RGPD : liste des traitements soumis à l'AIPD

  • 1. Commission nationale de l’informatique et des libertés Délibération no 2018-327 du 11 octobre 2018 portant adoption de la liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise NOR : CNIL1829647X La Commission nationale de l’informatique et des libertés, Vu la convention no 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ; Vu le règlement (UE) 2016/679 du parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, notamment son article 35 ; Vu la loi no 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ; Vu le décret no 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ; Vu les lignes directrices concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est « susceptible d’engendrer un risque élevé » aux fins du règlement (UE) 2016/679 adoptées le 4 avril 2017 ; Vu l’avis 9/2018 du Comité européen de la protection des données relatif au projet de liste de l’autorité de contrôle française portant sur les types d’opération de traitements pour lesquelles une analyse d’impact relative à la protection des données (article 35.4 du RGPD), adopté le 25 septembre 2018 ; Après avoir entendu les observations de Mme Nacima BELKACEM, commissaire du Gouvernement, Formule les observations suivantes : L’article 35.1 du Règlement général relatif à la protection des données (RGPD) prévoit qu’une analyse d’impact relative à la protection des données (AIPD) doit être menée quand un traitement est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées ». L’article 35.3 du RGPD énonce trois types de traitements susceptibles de présenter un risque élevé. Le Comité européen de la protection des données (CEPD) a lui-même identifié neuf critères permettant de caractériser un traitement susceptible d’engendrer un risque élevé. L’article 35.4 du RGPD impose aux autorités de contrôle d’établir et de publier une liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise. L’article 35.6 du RGPD prévoit que, lorsque cette liste concerne des « activités de traitements liées à l’offre de biens ou de services à des personnes concernées ou au suivi de leur comportement dans plusieurs Etats membres, ou peuvent affecter sensiblement la libre circulation des données à caractère personnel au sein de l’Union », elle doit être soumise au mécanisme de « contrôle de la cohérence » et doit être communiquée au Comité européen de la protection des données (CEPD). Le 14 juin 2018, un projet de liste a été adopté par la commission et soumis au CEPD le 6 juillet 2018. Le CEPD a adopté un avis relatif à ce projet le 25 septembre 2018, qui a été notifié à la commission le 2 octobre 2018. Décide : De l’adoption de la liste annexée à la présente délibération portant sur les types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise. Cette liste a un caractère non-exhaustif. Conformément à l’article 35.1 du RGPD, une AIPD devra être réalisée dès lors que le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques. Cette liste est basée sur les lignes directrices du CEPD relatives à l’analyse d’impact relative à la protection des données (AIPD) qu’elle vient compléter et préciser pour des traitements spécifiques. La présente délibération sera publiée au Journal officiel de la République française. La présidente, I. FALQUE-PIERROTIN 6 novembre 2018 JOURNAL OFFICIEL DE LA RÉPUBLIQUE FRANÇAISE Texte 82 sur 134
  • 2. ANNEXE LISTE DES TYPES D’OPÉRATIONS DE TRAITEMENT POUR LESQUELLES UNE ANALYSE D’IMPACT RELATIVE À LA PROTECTION DES DONNÉES EST REQUISE Types d’opérations de traitement Critères issus des lignes directrices du CEPD qu’ils remplissent Traitements de données de santé mis en œuvre par les établissements de santé ou les établissements médico-sociaux pour la prise en charge des personnes – collecte de données sensibles – personnes dites « vulnérables » Traitements portant sur des données génétiques de personnes dites « vulnérables » (patients, employés, enfants, etc.) – collecte de données sensibles – personnes dites « vulnérables » Traitements établissant des profils de personnes physiques à des fins de gestion des ressources humaines – évaluation ou notation – personnes dites « vulnérables » Traitements ayant pour finalité de surveiller de manière constante l’activité des employés concernés – personnes dites « vulnérables » – surveillance systématique Traitements ayant pour finalité la gestion des alertes et des signalements en matière sociale et sanitaire – personnes dites « vulnérables » – évaluation ou notation – collecte de données sensibles Traitements ayant pour finalité la gestion des alertes et des signalements en matière professionnelle – personnes dites « vulnérables » – évaluation ou notation – collecte de données sensibles Traitements des données de santé nécessaires à la constitution d’un entrepôt de données ou d’un registre – collecte de données sensibles – personnes dites « vulnérables » Traitements impliquant le profilage des personnes pouvant aboutir à leur exclusion du bénéfice d’un contrat ou à la suspension voire à la rupture de celui-ci – évaluation ou notation – croisement ou combinaison d’ensembles de données Traitements mutualisés de manquements contractuels constatés, susceptibles d’aboutir à une décision d’exclusion ou de suspension du bénéfice d’un contrat – croisement ou combinaison d’ensembles de données – prise de décision automatisée avec effet juridique ou effet similaire significatif Traitements de profilage faisant appel à des données provenant de sources externes – évaluation ou notation – croisement ou combinaison d’ensembles de données Traitements de données biométriques aux fins de reconnaissance des personnes parmi lesquelles figurent des personnes dites « vulnérables » (élèves, personnes âgées, patients, demandeurs d’asile, etc.) – collecte de données sensibles – personnes dites « vulnérables » Instruction des demandes et gestion des logements sociaux – collecte de données sensibles – évaluation ou notation Traitements ayant pour finalité l’accompagnement social ou médico-social des personnes – collecte de données sensibles – évaluation ou notation – personnes dites « vulnérables » Traitements de données de localisation à large échelle – collecte de données sensibles – données traitées à grande échelle 6 novembre 2018 JOURNAL OFFICIEL DE LA RÉPUBLIQUE FRANÇAISE Texte 82 sur 134