RGPD : La Cnil liste les traitements soumis à une analyse d'impact
Dans la suite de l'article 35 du RGPD, la Cnil vient de publier la liste des opérations de traitement des données personnelles où l'analyse d'impact est requise. Le régulateur en liste quatorze.
PublicitéL'article 35 du RGPD prévoit une analyse d'impact quand un traitement est « susceptible d'engendrer un risque élevé pour les droits et les libertés des personnes concernées ». Le même article impose aux régulateurs d'établir et de publier une liste des types d'opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données est requise. Cette liste est arrêtée en fonction de critères fixés par le Comité européen de la protection des données (CEPD). Une liste, non exhaustive, vient d'être publiée au JO en comprenant 14 types d'opérations de traitement. Parmi elles, on retrouve les traitements :
-des profils de personnes physiques à des fins de gestion de ressources humaines.
-des données de santé mis en oeuvre par les établissements de santé ou les établissements médico-sociaux pour la prise en charge des personnes.
-des données génétiques de personnes dites « vulnérables » (patients, employés, enfants, etc.)
-ayant pour finalité de surveiller de manière constante l'activité des employés concernés.
-ayant pour finalité la gestion des alertes et des signalements en matière professionnelle.
-des données de santé nécessaires à la constitution d'un entrepôt de données ou d'un registre.
-impliquant le profilage des personnes pouvant aboutir à leur exclusion du bénéfice d'un contrat ou à la suspension voire la rupture de celui-ci.
-mutualisés de manquements contractuels constatés, susceptibles d'aboutir à une décision d'exclusion ou de suspension du bénéfice d'un contrat.
-de profilage faisant appel à des données provenant de sources externes.
-de données biométriques aux fins de reconnaissance des personnes parmi lesquelles figurent des personnes dites « vulnérables » (élèves, personnes âgées, patients, demandeurs d'asile, etc.)
-des demandes et gestion des logements sociaux.
-ayant pour finalité l'accompagnement social ou médico-social des personnes.
-de données de localisation à large échelle.
Au final, les traitements des données de santé, de ressources humaines, des assurances, des logements sociaux, de géolocalisation à grande échelle, sont concernés par l'obligation de réaliser une analyse d'impact
Article rédigé par
Jacques Cheminat, Rédacteur en chef LMI
Suivez l'auteur sur Linked In, Twitter
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire