La Commission nationale de l'informatique et des libertés (CNIL) a publié le 22 octobre 2019 une liste de tous les traitements exemptés d'analyse d'impact relative à la protection des données (AIPD). L’AIPD est un outil qui permet de construire un traitement conforme au RGPD et respectueux de la vie privée, lorsqu'un traitement de données personnelles est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées. Explications avec Ariane Mole, Co-Head de la Pratique Internationale de Protection des Données Personnelles chez Bird & Bird.
Quels sont les traitements dispensés de l’analyse de l’impact relatif à la protection des données ?
L’article 35 du RGPD impose d’effectuer une analyse d’impact (AIPD) pour les traitements de données « susceptibles d’engendrer un risque élevé pour les droits et les libertés des personnes».
Mais comment évaluer l’existence d’un tel risque? Le RGPD a précisé les critères à prendre en compte, mais il revient aux autorités nationales d’établir la liste des traitements à risque (liste noire) et de ceux qui n’en présentent pas (liste blanche). La CNIL avait déjà publié sa liste noire en 2018, et vient donc de publier sa liste blanche.
Cette liste blanche contient douze catégories de traitements, et chaque catégorie comprend plusieurs exemples, dont le nombre total s’élève à 46, entre autres : les traitements de gestion des ressources humaines (paye du personnel, formation…mais seulement dans les organismes de moins de 250 employés), la gestion des fournisseurs, la communication interne dans les entreprises... On y retrouve un peu le contenu des anciennes « normes simplifiées » que la CNIL diffusait avant le RGPD, mais avec plusieurs différences qui changent la donne.
Cette liste est-elle exhaustive ?
Non, la CNIL l’indique expressément sur son site. Entre la liste noire et la liste blanche se situe une zone grise des traitements ne figurant sur aucune des deux listes et pour lesquels il appartient au responsable de traitement de décider s’ils engendrent ou non un risque élevé, et donc s’ils nécessitent ou non une AIPD.
En fait, pour les responsables de traitement c’est dans la zone grise que se situe le risque car la décision n’est pas facile à prendre et le principe de responsabilité des entreprises et des organismes publics est un des points phares du RGPD. Réaliser une AIPD implique un travail qui peut être lourd, il faut faire attention et faire les bons choix.
Les responsables de ces données exemptées de l’AIPD continuent-ils à être soumis à l’obligation de sécurité imposée par l’article 32 du Règlement général sur la protection des données?
Oui bien sûr. La CNIL rappelle en tête de la publication de sa liste blanche que le responsable de traitement n’est jamais dispensé du respect de toutes les autres obligations prescrites par le RGPD : information des personnes sur leurs droits, établissement du registre des traitements, respect des grands principes et de la sécurité des données personnelles… D’un point de vue pratique, il ne faut pas oublier que le niveau d’exigence de la CNIL sur le respect des obligations du RGPD reste inchangé, que le traitement soit soumis ou non à une AIPD.
Propos recueillis par Arnaud Dumourier (@adumourier)