RGPD : une étude d’impact obligatoire ?

Dans le cadre du RGPD, certaines opérations de traitement de données à caractère personnel doivent donner lieu à la réalisation d’une étude d’impact. La Cnil vient de publier une liste de 14 de ces opérations pour lesquelles l’étude d’impact est, quoiqu’il arrive, obligatoire : êtes-vous concerné ?

RGPD : la Cnil publie une liste d’opérations de traitement soumises à étude d’impact !

Pour qu’une entreprise soit conforme au Règlement Général sur la Protection des Données (RGPD), il est nécessaire qu’elle réalise une cartographie des données à caractère personnel qu’elle est susceptible de collecter.

Cette étape nécessite de réaliser un inventaire de ses traitements, de les classifier, de déterminer les objectifs poursuivis et d’identifier les acteurs qui traitent ces données.

Selon les résultats de cette cartographie, il peut être opportun de réaliser une étude d’impact, voire obligatoire dans certaines situations.

D’ailleurs, la Cnil vient de publier une liste (non exhaustive) de 14 opérations de traitement pour lesquelles il est obligatoire de réaliser une étude d’impact. Il s’agit :

  • des traitements de données de santé mis en œuvre par les établissements de santé ou les établissements médicosociaux pour la prise en charge des personnes ;
  • des traitements portant sur des données génétiques de personnes dites « vulnérables » (patients, employés, enfants, etc.) ;
  • des traitements établissant des profils de personnes physiques à des fins de gestion des ressources humaines ;
  • des traitements ayant pour finalité de surveiller de manière constante l’activité des employés concernés ;
  • des traitements ayant pour finalité la gestion des alertes et des signalements en matière sociale et sanitaire ;
  • des traitements ayant pour finalité la gestion des alertes et des signalements en matière professionnelle ;
  • des traitements des données de santé nécessaires à la constitution d’un entrepôt de données ou d’un registre (il s’agit de bases de données conçues pour effectuer des analyses de données qui ne font pas l’objet de mises à jour, également appelées « data warehouse ») ;
  • des traitements impliquant le profilage des personnes pouvant aboutir à leur exclusion du bénéfice d’un contrat ou à la suspension, voire à la rupture de celui-ci ;
  • des traitements mutualisés de manquements contractuels constatés, susceptibles d’aboutir à une décision d’exclusion ou de suspension du bénéfice d’un contrat ;
  • des traitements de profilage faisant appel à des données provenant de sources externes ;
  • des traitements de données biométriques aux fins de reconnaissance des personnes parmi lesquelles figurent des personnes dites « vulnérables » (élèves, personnes âgées, patients, demandeurs d’asile, etc.) ;
  • des instructions des demandes et gestion des logements sociaux ;
  • des traitements ayant pour finalité l’accompagnement social ou médico-social des personnes ;
  • des traitements de données de localisation à large échelle.

Source : www.cnil.fr

RGPD : une étude d’impact obligatoire ? © Copyright WebLex – 2018