Droit du travail & RH

Article ancien - Il se peut que les informations et les liens ne soient plus à jour

RGPD : la liste des traitements pour lesquels une AIPD n’est pas requise est publiée
Visuel couronne premium

Publié le par dans Contrat de travail.

Le RGPD prévoit qu’une analyse d’impact de protection des données (AIPD) doit être effectuée lorsqu’un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes. Une délibération de la CNIL donne une liste de types d’opération de traitement pour lesquels l’AIPD n’est pas requise. Certains traitements touchent les ressources humaines.

Analyse d’impact relative à la protection des données (CNIL) : en cas de risque élevé pour la protection des droits et libertés des personnes

Lorsqu’un traitement est susceptible d’engendrer « un risque élevé pour les droits et libertés des personnes physiques », une analyse d’impact relative à la protection des données (AIPD) doit être menée avant la mise en œuvre du traitement.

Le RGPD donne 3 types de traitements susceptibles de présenter un risque élevé :

  • l'évaluation systématique et approfondie d'aspects personnels fondée sur un traitement automatisé et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l'égard d'une personne physique ou l'affectant de manière significative de façon similaire ;
  • le traitement à grande échelle de données sensibles ou relatives à des condamnations pénales et des infractions ;
  • la surveillance systématique à grande échelle d'une zone accessible au public.

Pour plus de précision sur les types de traitement nécessitant une analyse d’impact relative à la protection des données, consultez l’article « RGPD : dans quels cas effectuer l’analyse d’impact relative à la protection des données (AIPD) ? ».

Analyse d’impact relative à la protection des données (CNIL) : les traitements pour lesquels l’AIPD n’est pas requise

En novembre 2018, la CNIL avait donné une liste de 14 types d’opérations de traitement concernés par l’AIPD. Cette liste est non-exhaustive.

Téléchargement RGPD : liste des types d'opérations de traitement pour lesquelles une AIPD est requise

En matière de ressources humaines, les traitements notamment concernés sont :

  • ceux établissant des profils de personnes physiques à des fins de gestion des ressources humaines ;
  • ceux ayant pour finalité de surveiller de manière constante l'activité des employés ;
  • ceux ayant pour finalité la gestion des alertes et des signalements en matière professionnelle.

On attendait la liste des traitements qui ne présentent pas de risque élevé et qui ne seraient donc pas soumis à la réalisation d'une AIPD. Elle vient d’être publiée au Journal officiel.

Mais attention, cette liste qui comporte 12 types d’opérations de traitement n’est pas exhaustive. Ainsi, certaines opérations de traitement ne présentant pas de risque élevé pour les droits et libertés des personnes peuvent ne pas être inscrites sur cette liste. Si vous avez des doutes, il est recommandé d’effectuer une AIPD.

Parmi les différents types d’opérations de traitement listés, certains concernent les ressources humaines et également les comités sociaux et économiques, il s’agit :

  • des traitements, mis en œuvre uniquement à des fins de ressources humaines et dans les conditions prévues par les textes applicables, pour la seule gestion du personnel des organismes qui emploient moins de 250 personnes, à l'exception du recours au profilage ;
  • des traitements destinés à la gestion des activités des comités d'entreprise et d'établissement (et donc des CSE) ;
  • certains traitements mis en œuvre aux seules fins de gestion des contrôles d'accès physiques et des horaires pour le calcul du temps de travail, en dehors de tout dispositif biométrique ;
  • des traitements relatifs aux éthylotests, strictement encadrés par un texte et mis en œuvre dans le cadre d'activités de transport aux seules fins d'empêcher les conducteurs de conduire un véhicule sous l'influence de l'alcool ou de stupéfiants.

La CNIL donne des exemples de traitements. Ainsi, ne requièrent pas une AIPD :

  • la gestion de la paye, l’émission des bulletins de salaire ;
  • la gestion des formations ;
  • la gestion du restaurant d’entreprise, la délivrance des chèques repas ;
  • le remboursement des frais professionnels ;
  • le contrôle du temps de travail ;
  • le suivi des entretiens annuels d’évaluation ;
  • la tenue des registres obligatoires ;
  • l’utilisation d’outils de communication (messagerie électronique, téléphonie, vidéoconférences, outils collaboratifs en ligne) sans recours au profilage ni à la biométrie ;
  • le contrôle du temps de travail (sans dispositif biométrique, sans données sensibles ni à caractère hautement personnel).

Découvrez la liste des 12 types d’opérations de traitements ne requérant pas d’AIPD, ainsi que des exemples.

Délibération n° 2019-118 du 12 septembre 2019 portant adoption de la liste des types d'opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données n'est pas requise, Jo 22

Visuel couronne premium
Ce contenu est réservé aux abonnés à l'Actualité Premium

A partir de 9,90€ / mois

Profitez pleinement de l'ensemble de l'actualité des Editions Tissot : tous les articles payants, le déblocage des dossiers de synthèses à télécharger et les archives des newsletters.

Essayer gratuitement pendant 30 jours Je me connecte