Juridique

RGPD : La Cnil liste les traitements soumis à une analyse d'impact

RGPD : La Cnil liste les traitements soumis à une analyse d'impact
La Cnil a listé les opérations de traitement de données personnelles soumises à une analyse d'impact. (Crédit Photo : D.R)

Dans la suite de l'article 35 du RGPD, la Cnil vient de publier la liste des opérations de traitement des données personnelles où l'analyse d'impact est requise. Le régulateur en liste quatorze.

PublicitéL'article 35 du RGPD prévoit une analyse d'impact quand un traitement est « susceptible d'engendrer un risque élevé pour les droits et les libertés des personnes concernées ». Le même article impose aux régulateurs d'établir et de publier une liste des types d'opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données est requise. Cette liste est arrêtée en fonction de critères fixés par le Comité européen de la protection des données (CEPD). Une liste, non exhaustive, vient d'être publiée au JO en comprenant 14 types d'opérations de traitement. Parmi elles, on retrouve les traitements :

-des profils de personnes physiques à des fins de gestion de ressources humaines.

-des données de santé mis en oeuvre par les établissements de santé ou les établissements médico-sociaux pour la prise en charge des personnes.

-des données génétiques de personnes dites « vulnérables » (patients, employés, enfants, etc.)

-ayant pour finalité de surveiller de manière constante l'activité des employés concernés.

-ayant pour finalité la gestion des alertes et des signalements en matière professionnelle.

-des données de santé nécessaires à la constitution d'un entrepôt de données ou d'un registre.

-impliquant le profilage des personnes pouvant aboutir à leur exclusion du bénéfice d'un contrat ou à la suspension voire la rupture de celui-ci.

-mutualisés de manquements contractuels constatés, susceptibles d'aboutir à une décision d'exclusion ou de suspension du bénéfice d'un contrat.

-de profilage faisant appel à des données provenant de sources externes.

-de données biométriques aux fins de reconnaissance des personnes parmi lesquelles figurent des personnes dites « vulnérables » (élèves, personnes âgées, patients, demandeurs d'asile, etc.)

-des demandes et gestion des logements sociaux.

-ayant pour finalité l'accompagnement social ou médico-social des personnes.
-de données de localisation à large échelle.

Au final, les traitements des données de santé, de ressources humaines, des assurances, des logements sociaux, de géolocalisation à grande échelle, sont concernés par l'obligation de réaliser une analyse d'impact

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis

    La question du moment
    Chaque conclusion de contrat cloud ou de licences de logiciel est-elle systématiquement associée à l’étude des conditions de sortie/résiliation ?