Vous êtes dans une zone habituellement réservée aux stagiaires RGPD de « LE NET EXPERT FORMATIONS ». Afin des fins pédagogiques d’intérêt général, nous avons libéré l’accès à cette page et avons le plaisir de partager avec vous ce contenu.
Vous souhaitez suivre une formation sur le RGPD ou la CYBER ? Contactez-nous
Le RGPD prévoit que les autorités de protection des données doivent établir une liste des traitements pour lesquels une analyse d’impact relative à la protection des données est requise. La CNIL a adopté sa liste définitive le 11 octobre dernier, après avoir soumis un projet au Comité européen de la protection des données. Elle publie également ses lignes directrices relatives aux AIPD.
L’analyse d’impact relative à la protection des données (AIPD) est un des éléments centraux du RGPD.
La CNIL propose déjà de nombreux outils permettant aux professionnels de mieux comprendre leurs obligations et de les mettre en œuvre en pratique : guides pratiques, logiciel PIA, étude de cas, questions-réponses, etc.
En complément des lignes directrices adoptées au niveau européen en octobre 2017, la CNIL publie ses propres lignes directrices pour préciser :
- le périmètre de l’obligation d’effectuer une AIPD ;
- les conditions de réalisation de l’AIPD
- les cas dans lesquels une AIPD doit lui être transmise.
Conformément à ce que prévoit l’article 35.4° du RGPD, la CNIL a également élaboré une liste de traitements pour lesquels elle estime nécessaire qu’une AIPD soit réalisée.
Ce projet de liste a été soumis avant son adoption définitive à l’avis du Comité européen de la protection des données (CEPD). Le Comité a rendu fin septembre un avis sur 22 projets de listes élaborés par les autorités nationales de protection des données, dont la liste française, afin de s’assurer de leur bonne cohérence et de l’application homogène du RGPD dans l’Union européenne.
Sur la base de cet avis, la CNIL a adopté définitivement sa liste. Elle comporte quatorze types d’opérations de traitement pour lesquelles elle estime obligatoire de réaliser une analyse d’impact relative à la protection des données.
Liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise[ PDF-228.46 Ko]
Pour autant, cette liste n’est pas exhaustive, dans la mesure où des traitements qui n’y figurent pas peuvent néanmoins devoir faire l’objet d’une AIPD. C’est le cas des traitements susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques au regard des 9 critères issus des lignes directrices du G29.
Enfin, la CNIL adoptera prochainement la liste des traitements pour lesquels aucune AIPD n’est requise conformément à ce que prévoit l’article 35.5° du RGPD.
Sommaire du Chapitre « 36. L’ANALYSE D’IMPACT RELATIVE À LA PROTECTION DES DONNÉES »
- 36.1 Ce qu’il faut savoir sur l’analyse d’impact (AIPD)
- 36.1.1 Qu’est-ce qu’une analyse d’impact relative à la protection des données (AIPD) ?
- 36.1.2 Qu’est-ce qu’un risque sur la vie privée ?
- 36.1.3 Une analyse d’impact peut-elle porter sur un ou plusieurs traitements ?
- 36.1.4 Quand est-ce qu’une analyse d’impact n’est pas obligatoire ?
- 36.1.5 Quand est-ce qu’une analyse d’impact est obligatoire ?
- 36.1.6 À quel moment faut-il mener une analyse d‘impact ?
- 36.1.7 Faut-il mener une analyse d’impact pour les traitements déjà mis en œuvre au 25 mai 2018 ?
- 36.1.8 Qui intervient dans la réalisation d’une analyse d’impact ?
- 36.1.9 Comment fait-on une analyse d’impact, existe-t-il une méthode pour faire une analyse d’impact ?
- 36.1.10 Faut-il publier l’analyse d’impact ?
- 36.1.11 Quand faut-il transmettre son analyse d’impact à la CNIL ?
- 36.1.12 Comment envoyer son analyse d’impact (AIPD) à la CNIL ?
- 36.1.13 Quel est le montant des sanctions prévues par le règlement en cas de manquements aux dispositions relatives aux analyses d’impact ?
- 36.1.14 Infographie de la CNIL – Dois-je faire une AIPD ?
- 36.1.15 Documents et outils complémentaires
Source : CNIL : Ce qu’il faut savoir sur l’analyse d’impact relative à la protection des données (AIPD)