Publications

Les précisions du CEPD sur la liste des traitements exemptés d’analyse d’impact sur la vie privée soumise par la CNIL

Publié le 27 août 2019

Dans le cadre de l’application de l’article 35 du Règlement général sur la protection des données (RGPD)[1], la CNIL a soumis au Comité Européen à la Protection des Données (CEPD) le 20 mai 2019 une liste de traitements exemptés de réalisation d’analyse d’impact sur la vie privée sur laquelle cette dernière a donné un avis le 10 juin dernier.

En effet, la réalisation des analyses d’impact sur la vie privée est une des obligations nouvelles du RGPD qui dispose que « lorsqu’un type de traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l’impact ». Si le RGPD[2] donne quelques précisions sur les types de traitements susceptibles d’engendrer un risque sur la vie privée des personnes, il laisse la faculté à chaque Etat-membre de l’Union Européenne de déterminer une liste d’opérations devant obligatoirement faire l’objet d’une analyse d’impact RGPD ainsi qu’une liste d’opérations de traitement pouvant être exemptés de la réalisation des analyses d’impact[3]. Ainsi, chaque autorité de contrôle a la faculté de publier des listes d’exemptions. Avant leur adoption par les autorités de contrôle, ces listes doivent être soumises pour avis au Comité Européen à la Protection des données. C’est dans ce cadre que la CNIL a publié le 11 octobre 2018[4] une liste de traitements sur lesquels une analyse d’impact était requise. L »appel à une agence RGPD peut alors être une aide précieuse.

Afin de continuer son processus d’encadrement de cette nouvelle obligation, le 20 mai 2019, la CNIL a soumis au CEPD une liste de traitement exonérés de réalisation d’analyse d’impact, demande sur laquelle le CEPD a émis un avis le 20 juin 2019[5].

Avant d’analyser les différents traitements exemptés, il faut noter qu’à cette date, le CEPD s’est prononcé sur des listes d’exonération de 3 pays : la France, la République Tchèque et l’Espagne. Dans le cadre de ces avis, les analyses du CEPD sont basées sur le contexte national et prend principalement en compte la législation nationale du pays concerné. Il veille cependant à ce qu’il n’y’ait pas de contradictions majeures entre les différents Etats-membres qui auraient des conséquences négatives sur l’objectif d’harmonisation voulu par le RGPD.

1. Les traitements concernés par l’exemption

Dans l’avis, on peut distinguer les traitements sur lesquels le CEPD n’a pas émis de recommandations particulières et qu’on peut considérer comme étant validées, des traitements sur lesquels elle a émis des recommandations ayant pour objectif de restreindre leur périmètre. Les traitements exonérés sans recommandations particulières du CEPD sont les suivants :

  • les traitements effectués dans les conditions prévues par la loi relative à la gestion du registre électoral des municipalités ;
  • les traitements effectués par les greffiers des tribunaux de commerce aux fins de l’exécution de leurs missions et dans le cadre de leurs activités ;
  • les traitements effectués par les notaires aux fins de l’exercice de leur activité notariale et la rédaction d’actes notariés ;
  • les traitements effectués par les autorités locales, ainsi que par les personnes morales couvertes par le droit privé et public, pour la gestion des écoles, les activités extrascolaires et les services de la petite enfance.
  • Les traitements mis en œuvre à des fins de ressources humaines, répondant à une obligation légale et dans les entreprises de moins de 250 personnes, sauf lorsque le profilage est utilisé.

On peut remarquer que cette première liste concerne plus les traitements mis en œuvre par les collectivités territoriales, services administratifs et les traitements obligatoires des ressources humaines. On peut ainsi constater que la base légale d’un traitement a un rôle majeur dans le raisonnement du CEPD. Trois catégories de traitements ont cependant fait l’objet de recommandations particulières du CEPD. Il s’agit des traitements suivants :

  • Traitements relatifs aux éthylotests et aux tachygraphes mis en œuvre dans les pays de l’Union Européenne dans le cadre des activités de transport

Pour ces traitements, le CEPD note qu’ils peuvent engendrer un risque élevé sur la vie privée des personnes et la santé publique et émet 3 recommandations à la CNIL :

  • limiter l’exemption aux cas où le traitement de ces données est obligatoire en vertu de la loi ;
  • limiter l’utilisation des données de l’alcootest à des fins autres que d’empêcher les conducteurs de prendre le volant et de conduire un véhicule sous l’influence de l’alcool ou de stupéfiants ;
  • supprimer les traitements relatifs à la consommation de tachygraphes de la liste.
  • Traitements effectués aux seules fins de la gestion des contrôles d’accès et des plannings, à l’exclusion de tout dispositif biométrique

Pour cette exception, le CEPD a émis 3 recommandations afin de la circonscrire :

  • limiter au seul traitement des données qui ne révèlent pas de données sensibles ou des données hautement personnelles ;
  • limiter le champ d’application de l’exception aux activités de traitement avec recours à des mécanismes standard et non biométriques de contrôle d’accès physiques ;
  • limiter l’exception aux seules activités de traitement ayant pour seul but de calculer les temps de travail.
  • Traitements effectués à des fins de recouvrement de ses dettes en cours, et pour son propre compte

Le CEPD estime que les activités menées dans le cadre du recouvrement de créances sont susceptibles de présenter un risque sur la vie privée des personnes et a émis les recommandations suivantes à la CNIL :

  • limiter l’exemption aux dettes contractées dans le cadre d’une relation d’affaires avec le consommateur à l’exclusion des activités de traitement concernant des créances acquises auprès d’un tiers,
  • exclure l’évaluation et la notation du champ d’application de l’exemption.

 2. Quelles conséquences tirer de cet avis du CEPD ?

On peut retenir de cet avis que très peu de traitements concernant les activités des entreprises privées sont concernées. En ce qui concerne les traitements à des fins de ressources humaines, seules les TPE et PME pourront en bénéficier, les grands groupes ne pourront pas systématiquement s’en prévaloir. Cela conforte l’idée selon laquelle les traitements à grande échelle sont susceptibles d’engendrer un risque sur la vie privée des personnes, et il faut rappeler à ce titre que ce critère figure dans la liste des critères des lignes directrices du G29[6] sur l’analyse d’impact. De même, les attentions particulières du CEPD portent également sur l’évaluation et la notation qui est une limite à la plupart des exemptions.

Concernant la portée de cet avis, le CEPD précise que le fait qu’un traitement figure dans la liste d’exemption ne signifie pas que le responsable du traitement est exempté des obligations énoncées à l’article 32 du RGPD. Par conséquent, l’évaluation des risques pour les droits et libertés des personnes physiques, leur probabilité et leur gravité, doit être effectuée par le responsable du traitement afin d’assurer un niveau de sécurité suffisant approprié au risque conformément à l’article 32 du RGPD. Un traitement exempté de réalisation de l’analyse d’impact doit tout de même être conforme au RGPD.

Dans l’attente de la publication officielle de la liste par la CNIL, les responsables de traitement peuvent d’ores et déjà analyser leurs registres de traitement et identifier tous les traitements susceptibles de rentrer dans cette liste en vérifiant que tous les critères de l’exemption sont bien remplis.

[1] Règlement (UE) 2016/679 du parlement européen et du conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)

[2] Article 35 alinéa 1 du RGPD

[3] Article 35 alinéas 4 et 5 du RGPD

[4] Délibération n° 2018-327 du 11 octobre 2018 portant adoption de la liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise

[5] Opinion 13/2019 on the draft list of the competent supervisory authority of France regarding the processing operations exempt from the requirement of a data protection impact assessment (Article 35(5) GDPR) Adopted on 10 July 2019

[6] Lignes directrices du 4 avril 2017 concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est « susceptible d’engendrer un risque élevé » aux fins du règlement (UE) 2016/679

 

 

Par Bernadette Dolly Kouetha

 

Suivez-nous sur Linkedin, Twitter et Facebook