36.2.1 Listes des traitements pour lesquels une AIPD n’est pas requise

Vous êtes dans une zone habituellement réservée aux stagiaires RGPD de « LE NET EXPERT FORMATIONS ». Afin des fins pédagogiques d’intérêt général, nous avons libéré l’accès à cette page et avons le plaisir de partager avec vous ce contenu.
Vous souhaitez suivre une formation sur le RGPD ou la CYBER ? Contactez-nous


Le RGPD prévoit que les autorités de protection des données peuvent établir une liste des traitements pour lesquels une analyse d’impact relative à la protection des données n’est pas obligatoire. La CNIL a adopté sa liste définitive le 12 septembre dernier, après avoir soumis un projet au Comité européen de la protection des données.

Au mois de novembre 2018, la CNIL avait déjà adopté la liste des traitements pour lesquels une AIPD est obligatoire.

Conformément à ce que prévoit le RGPD, la CNIL a également élaboré une liste de traitements pour lesquels elle n’estime pas nécessaire qu’une AIPD soit réalisée.

Liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données n’est pas requise – 214 ko[ PDF-214.64 Ko]

Ce projet de liste a été soumis avant son adoption définitive à l’avis du Comité européen de la protection des données (CEPD). Le Comité a rendu fin juillet un avis sur plusieurs projets de listes élaborés par les autorités nationales de protection des données, dont la liste française, afin de s’assurer de leur bonne cohérence et de l’application homogène du RGPD dans l’Union européenne.

Sur la base de cet avis, la CNIL a adopté définitivement sa liste. Celle-ci comporte douze types d’opérations de traitement pour lesquelles elle n’estime pas obligatoire de réaliser une analyse d’impact relative à la protection des données.

Pour autant, cette liste n’est pas exhaustive, dans la mesure où des traitements qui n’y figurent pas peuvent également ne pas nécessiter une AIPD. C’est le cas des traitements qui ne présentent pas de risque élevé pour les droits et libertés des personnes physiques car ils ne répondent à aucun des critères issus des lignes directrices du G29.


Sommaire du Chapitre « 36. L’ANALYSE D’IMPACT RELATIVE À LA PROTECTION DES DONNÉES »


Source : CNIL : Ce qu’il faut savoir sur l’analyse d’impact relative à la protection des données (AIPD)