Dans le cadre de l’application de l’article 35 du Règlement général sur la protection des données (RGPD)[1], la CNIL a soumis au Comité Européen à la Protection des Données (CEPD) le 20 mai 2019 une liste de traitements exemptés de réalisation d’analyse d’impact sur la vie privée sur laquelle cette dernière a donné un avis le 10 juin dernier.
En effet, la réalisation des analyses d’impact sur la vie privée est une des obligations nouvelles du RGPD qui dispose que « lorsqu’un type de traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l’impact ». Si le RGPD[2] donne quelques précisions sur les types de traitements susceptibles d’engendrer un risque sur la vie privée des personnes, il laisse la faculté à chaque Etat-membre de l’Union Européenne de déterminer une liste d’opérations devant obligatoirement faire l’objet d’une analyse d’impact RGPD ainsi qu’une liste d’opérations de traitement pouvant être exemptés de la réalisation des analyses d’impact[3]. Ainsi, chaque autorité de contrôle a la faculté de publier des listes d’exemptions. Avant leur adoption par les autorités de contrôle, ces listes doivent être soumises pour avis au Comité Européen à la Protection des données. C’est dans ce cadre que la CNIL a publié le 11 octobre 2018[4] une liste de traitements sur lesquels une analyse d’impact était requise. L »appel à une agence RGPD peut alors être une aide précieuse.
Afin de continuer son processus d’encadrement de cette nouvelle obligation, le 20 mai 2019, la CNIL a soumis au CEPD une liste de traitement exonérés de réalisation d’analyse d’impact, demande sur laquelle le CEPD a émis un avis le 20 juin 2019[5].
Avant d’analyser les différents traitements exemptés, il faut noter qu’à cette date, le CEPD s’est prononcé sur des listes d’exonération de 3 pays : la France, la République Tchèque et l’Espagne. Dans le cadre de ces avis, les analyses du CEPD sont basées sur le contexte national et prend principalement en compte la législation nationale du pays concerné. Il veille cependant à ce qu’il n’y’ait pas de contradictions majeures entre les différents Etats-membres qui auraient des conséquences négatives sur l’objectif d’harmonisation voulu par le RGPD.
Dans l’avis, on peut distinguer les traitements sur lesquels le CEPD n’a pas émis de recommandations particulières et qu’on peut considérer comme étant validées, des traitements sur lesquels elle a émis des recommandations ayant pour objectif de restreindre leur périmètre. Les traitements exonérés sans recommandations particulières du CEPD sont les suivants :
On peut remarquer que cette première liste concerne plus les traitements mis en œuvre par les collectivités territoriales, services administratifs et les traitements obligatoires des ressources humaines. On peut ainsi constater que la base légale d’un traitement a un rôle majeur dans le raisonnement du CEPD. Trois catégories de traitements ont cependant fait l’objet de recommandations particulières du CEPD. Il s’agit des traitements suivants :
Pour ces traitements, le CEPD note qu’ils peuvent engendrer un risque élevé sur la vie privée des personnes et la santé publique et émet 3 recommandations à la CNIL :
Pour cette exception, le CEPD a émis 3 recommandations afin de la circonscrire :
Le CEPD estime que les activités menées dans le cadre du recouvrement de créances sont susceptibles de présenter un risque sur la vie privée des personnes et a émis les recommandations suivantes à la CNIL :
On peut retenir de cet avis que très peu de traitements concernant les activités des entreprises privées sont concernées. En ce qui concerne les traitements à des fins de ressources humaines, seules les TPE et PME pourront en bénéficier, les grands groupes ne pourront pas systématiquement s’en prévaloir. Cela conforte l’idée selon laquelle les traitements à grande échelle sont susceptibles d’engendrer un risque sur la vie privée des personnes, et il faut rappeler à ce titre que ce critère figure dans la liste des critères des lignes directrices du G29[6] sur l’analyse d’impact. De même, les attentions particulières du CEPD portent également sur l’évaluation et la notation qui est une limite à la plupart des exemptions.
Concernant la portée de cet avis, le CEPD précise que le fait qu’un traitement figure dans la liste d’exemption ne signifie pas que le responsable du traitement est exempté des obligations énoncées à l’article 32 du RGPD. Par conséquent, l’évaluation des risques pour les droits et libertés des personnes physiques, leur probabilité et leur gravité, doit être effectuée par le responsable du traitement afin d’assurer un niveau de sécurité suffisant approprié au risque conformément à l’article 32 du RGPD. Un traitement exempté de réalisation de l’analyse d’impact doit tout de même être conforme au RGPD.
Dans l’attente de la publication officielle de la liste par la CNIL, les responsables de traitement peuvent d’ores et déjà analyser leurs registres de traitement et identifier tous les traitements susceptibles de rentrer dans cette liste en vérifiant que tous les critères de l’exemption sont bien remplis.
[1] Règlement (UE) 2016/679 du parlement européen et du conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)
[2] Article 35 alinéa 1 du RGPD
[3] Article 35 alinéas 4 et 5 du RGPD
[4] Délibération n° 2018-327 du 11 octobre 2018 portant adoption de la liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise
[5] Opinion 13/2019 on the draft list of the competent supervisory authority of France regarding the processing operations exempt from the requirement of a data protection impact assessment (Article 35(5) GDPR) Adopted on 10 July 2019
[6] Lignes directrices du 4 avril 2017 concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est « susceptible d’engendrer un risque élevé » aux fins du règlement (UE) 2016/679
Par Bernadette Dolly Kouetha
