RGPD : dans quels cas effectuer l’analyse d’impact relative à la protection des données (AIPD) ?
Temps de lecture : 4 min
Contenu ancien
Il se peut que les informations contenues dans cet article et les liens ne soient plus à jour.
Analyse d’impact relative à la protection des données : ce qui est prévu dans le RGPD
Le Règlement européen sur la protection des données (RGPD) prévoit qu’une analyse d’impact de protection des données doit être effectuée lorsqu’un traitement est susceptible d’engendrer « un risque élevé pour les droits et libertés des personnes physiques ».
- une description systématique des opérations de traitement envisagées et de ses finalités ;
- une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités ;
- une évaluation des risques pour les droits et libertés des personnes concernées ;
- les mesures envisagées pour faire face aux risques.
Le RGPD donne 3 types de traitements susceptibles de présenter un risque élevé :
- l'évaluation systématique et approfondie d'aspects personnels fondée sur un traitement automatisé et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l'égard d'une personne physique ou l'affectant de manière significative de façon similaire ;
- le traitement à grande échelle de données sensibles ou relatives à des condamnations pénales et des infractions ;
- la surveillance systématique à grande échelle d'une zone accessible au public.
Le Comité européen à la protection des données (CEPD) a également identifié 9 critères permettant de caractériser les traitements pouvant entrainer un risque élevé.
La CNIL considère que si un traitement remplit au moins 2 de ces 9 critères, une AIPD doit être effectuée.
Toutefois, si vous estimez que le traitement que vous mettez en place, bien qu'il remplisse au moins 2 critères, ne présente pas de risque élevé, vous n’êtes pas dans l’obligation de procéder à une AIPD. Mais, vous devrez expliquer votre décision, accompagnée de l’avis de votre délégué à la protection des données (DPO), s'il existe.
De plus, vous pouvez également effectuer cette AIPD si vous remplissez moins de 2 critères mais que vous estimez que le traitement présente un risque élevé.
En cas de doute, la CNIL recommande que l’AIPD soit effectuée.
Analyse d’impact relative à la protection des données : ce qui est prévu par la CNIL
Le RGPD impose aux Etats d’établir une liste de traitements pour lesquels une analyse d’impact serait requise. La CNIL vient de préciser 14 types d’opération de traitement concernés par l’AIPD.
Différents types d’opérations de traitement concernent les salariés et la gestion des ressources humaines. C’est le cas notamment des traitements :
- établissant des profils de personnes physiques à des fins de gestion des ressources humaines ;
- ayant pour finalité de surveiller de manière constante l'activité des employés concernés ;
- ayant pour finalité la gestion des alertes et des signalements en matière professionnelle.
La CNIL devrait établir une liste des traitements qui ne présentent pas de risque élevé et qui ne seront donc pas soumis à la réalisation d'une AIPD.
Délibération n° 2018-326 du 11 octobre 2018 portant adoption de lignes directrices sur les analyses d’impact relatives à la protection des données (AIPD) prévues par le règlement général sur la protection des données (RGPD), Jo du 6 novembre
Délibération n° 2018-327 du 11 octobre 2018 portant adoption de la liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise, Jo du 6 novembre
Juriste en droit social et rédactrice au sein des Editions Tissot
- Durée de la période d’essai : les cas de réduction ou de suppressionPublié le 15/01/2025
- Evaluation des salariés : tout savoir sur l’entretien annuelPublié le 10/01/2025
- Fin de CDD : quels documents remettre et quelle indemnité verser ?Publié le 23/12/2024
- CDD : l’absence d’un paraphe sur une page n'entraîne pas l’irrégularité du contrat signéPublié le 06/12/2024
- Tout savoir sur la période d’essai des cadresPublié le 25/11/2024