Conformément aux dispositions de l’article 35.5 du règlement général sur la protection des données (RGPD) la CNIL a procédé à la publication d’une liste des traitements pour lesquels une analyse d’impact relative à la protection des données n’est pas requise.
Cette liste a été adoptée par la CNIL par sa délibération n° 2019-118 du 12 septembre 2019 portant adoption de la liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données n’est pas requise. Cette délibération a été publiée au journal officiel du 22 octobre 2019.
Au préalable le projet de liste de la CNIL avait été soumis à l’avis du Comité européen de la protection des données (CEPD).
Cette liste comporte douze types d’opérations de traitement pour lesquelles la CNIL estime qu’il n’est pas obligatoire de réaliser une analyse d’impact relative à la protection des données.
Ces douze types d’opérations de traitement sont les suivantes :
– traitements, mis en œuvre uniquement à des fins de ressources humaines et dans les conditions prévues par les textes applicables, pour la seule gestion du personnel des organismes qui emploient moins de 250 personnes, à l’exception du recours au profilage.
– traitements de gestion de la relation fournisseurs.
– traitements mis en œuvre dans les conditions prévues par les textes relatifs à la gestion du fichier électoral des communes.
– traitements destinés à la gestion des activités des Comités d’entreprise et d’établissement.
– traitements mis en œuvre par une association, une fondation ou toute autre institution sans but lucratif pour la gestion de ses membres et de ses donateurs dans le cadre de ses activités habituelles dès lors que les données ne sont pas sensibles.
– traitements de données de santé nécessaires à la prise en charge d’un patient par un professionnel de santé exerçant à titre individuel au sein d’un cabinet médical, d’une officine de pharmacie ou d’un laboratoire de biologie médicale.
– traitements mis en œuvre par les avocats dans le cadre de l’exercice de leur profession à titre individuel.
– traitements mis en œuvre par les greffiers des tribunaux de commerce aux fins d’exercice de leur activité.
– traitements mis en œuvre par les notaires aux fins d’exercice de leur activité notariale et de rédaction des documents des offices notariaux.
– traitements mis en œuvre par les collectivités territoriales et les personnes morales de droit public et de droit privé aux fins de gérer les services en matière d’affaires scolaires, périscolaires et de la petite enfance.
– traitements mis en œuvre aux seules fins de gestion des contrôles d’accès physiques et des horaires pour le calcul du temps de travail, en dehors de tout dispositif biométrique.
A l’exclusion des traitements des données qui révèlent des données sensibles ou à caractère hautement personnel.
– traitements relatifs aux éthylotests, strictement encadrés par un texte et mis en œuvre dans le cadre d’activités de transport aux seules fins d’empêcher les conducteurs de conduire un véhicule sous l’influence de l’alcool ou de stupéfiants.
Sur son site Internet la CNIL met à disposition un fichier pdf intéressant puisqu’il donne des exemples pour chaque type d’opérations concernées par cette liste.
Notamment pour le traitements de gestion de la relation fournisseurs la CNIL donne en exemple les traitements permettant :
– d’effectuer les opérations administratives liées : aux contrats ; aux commandes ; aux réceptions ; aux factures ; aux règlements ; à la comptabilité pour ce qui a trait à la gestion des comptes fournisseurs :
– d’établir les titres de paiement (traites, chèques, billets à ordre…) ;
– d’établir des statistiques financières et de chiffre d’affaires par fournisseur ;
– de fournir des sélections de fournisseurs pour les besoins de l’entreprise ou de l’organisme ;
– d’entretenir une documentation sur les fournisseurs.
Pour chaque type d’opérations de traitements d’autres exemples sont donnés par ce fichier pdf.
La CNIL indique que la liste adoptée par sa délibération n° 2019-118 du 12 septembre 2019 n’est pas exhaustive. En effet des traitements non mentionnés sur cette liste peuvent eux aussi ne pas nécessiter une analyse d’impact relative à la protection des données. Tel est le cas de ceux qui ne présentent pas de risque élevé pour les droits et libertés des personnes physiques.
Pour aller plus loin :
Accès sur le site Légifrance à la délibération n° 2019-118 du 12 septembre 2019 de la CNIL portant adoption de la liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données n’est pas requise
Consultation sur le site de la CNIL de la liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données n’est pas requise avec des exemples de traitements.