RGPD : la Cnil dresse la liste des traitements exemptés d'analyse d'impact
Le Règlement général sur la protection des données (RGPD) a imposé la réalisation d'analyses d'impact avant la mise en œuvre de certains traitements de données personnelles. Un an après la publication de la liste des traitement exigeant une étude préalable, la Cnil vient de détailler les traitements qui en sont exonérés.
© Fotolia
Gestion du personnel et de la paie, élaboration des listes électorales, fichier fournisseurs, gestion des écoles et des activités périscolaires, contrôle d'accès n'utilisant pas la biométrie… voici quelques exemples de traitements courants dans les communes qui n'exigent pas d'analyse d'impact de la vie privée (AIPD). On rappellera qu'en contrepartie de la suppression des déclarations préalables à la Cnil, les organismes traitant des données privées sont tenus à des obligations telles que la désignation d'un délégué à la protection des données ou la tenue d'un registre des traitements. L'AIPD en fait partie. Cette analyse doit être mise en œuvre pour démontrer la conformité du nouveau traitement aux règles du RGPD et déterminer les risques sur la sécurité des données (confidentialité, intégrité et disponibilité) ainsi que leurs impacts potentiels sur la vie privée.
Neufs critères pour analyser la sensibilité d'un traitement
La liste publiée par la Cnil a fait l'objet d'une concertation au niveau européen – le G29 qui réunit les Cnil européennes – et correspond à des traitements qui "ne présentent pas de risque élevé pour les droits et libertés des personnes physiques". A contrario, la Cnil avait listé en novembre 2018 la liste des traitements nécessitant une AIPD . Parmi ceux-ci, plusieurs concernent les collectivités : instruction des demandes de logements, gestion de l'accompagnement social ou médico-social, traitements biométriques (comme le contrôle d'accès à la cantine) et usage de systèmes de géolocalisation pour gérer, par exemple, la mobilité urbaine. Que faire si le traitement ne figure dans aucune des deux listes ? La Cnil propose sur son site un arbre de décision. Il s'agit d'analyser le traitement au regard de neuf critères : usage d'une technique de scoring (évaluation), génération de décision automatique à effet légal, création d'une surveillance systématique (santé, géolocalisation), collecte à grande échelle, croisement de données, ciblage de populations vulnérables (personnes âgées…), technologie nouvelle et possibilité d'exclusion du bénéfice d'un droit. Si au moins deux critères sont remplis, l'AIPD est requise. Pour aider à la réalisation de l'AIPD la Cnil a développé un logiciel open source pour réaliser une AIPD sur lequel les DPD pourront s'appuyer.
Le guide open data Cnil/ Cada dans sa version définitive
La Cnil a publié une version enrichie du guide "Publication en ligne et réutilisation des données publiques" élaboré en partenariat avec la Cada et nourri des remarques de quelques 220 contributeurs. Cet outil est présenté comme "évolutif" pour intégrer de nouvelles modifications législatives ou réglementaires. Il a aussi vocation à s'enrichir de fiches pratiques, avec une première fiche publiée sur les règles concernant l'anonymisation et la pseudonymisation des fichiers contenant des données personnelles avant leur mise à disposition en open data.
