Le Règlement Européen 2016/679 du 27 avril 2016, « RGPD » prévoit que les autorités de protection des données peuvent établir une liste des traitements pour lesquels une analyse d’impact relative à la protection des données (AIPD) n’est pas obligatoire.
La CNIL a adopté sa liste définitive le 12 septembre dernier, après avoir soumis un projet au Comité européen de la protection des données.
Dès lors, lorsque l’employeur met en place un traitement automatisé, ce dernier est tenu d’effectuer une analyse d’impact des données, pour ceux qui sont susceptibles d’engendrer un risque élevé pour les droits et libertés des salariés, du fait du recours à des nouvelles technologies et compte tenu de la nature, de la portée, du contexte et des finalités du traitement.
Il s’agit des traitements qui au moins deux des neuf critères fixés par le groupe des CNIL européenne (G29) :
1. Évaluation / Scoring (y compris le profilage) ;
2. Décision automatique avec effet légal ou similaire ;
3. Surveillance systématique ;
4. Collecte de données sensibles ou données à caractère hautement personnel;
5. Collecte de données personnelles à large échelle ;
6. Croisement de données ;
7. Personnes vulnérables (patients, personnes âgées, enfants, etc.) ;
8. Usage innovant (utilisation d’une nouvelle technologie) ;
9. Exclusion du bénéfice d’un droit/contrat.
Au mois de novembre 2018, la CNIL avait déjà adopté la liste des traitements pour lesquels une AIPD est obligatoire[1].
Par suite et un an plus tard, la CNIL a élaboré une liste de traitements pour lesquels elle n’estime pas nécessaire qu’une AIPD soit réalisée.
Celle-ci comporte douze types d’opérations de traitement pour lesquelles elle n’estime pas obligatoire de réaliser une analyse d’impact relative à la protection des données.
On retrouve s’agissant de la gestion des Ressources Humaines :
Traitements, mis en œuvre uniquement à des fins de ressources humaines et dans les conditions prévues par les textes applicables, pour la seule gestion du personnel des organismes qui emploient moins de 250 personnes, à l’exception du recours au profilage :
Gestion de la paie,
Émission des bulletins de salaire,
Contrôle du temps de travail,
Remboursement des frais professionnels,
Gestion des formations, etc…
Traitements mis en œuvre aux seules fins de gestion des contrôles d’accès physiques et des horaires pour le calcul du temps de travail, en dehors de tout dispositif biométrique. A l’exclusion des traitements des données qui révèlent des données sensibles ou à caractère hautement personnel.
Traitements relatifs aux éthylotests, strictement encadrés par un texte et mis en œuvre dans le cadre d’activités de transport aux seules fins d’empêcher les conducteurs de conduire un véhicule sous l’influence de l’alcool ou de stupéfiants, comme par exemple les dispositifs anti-démarrages.
Pour l’activité du CSE ou du Comité d’entreprise / établissement :
Des traitements destinés à la gestion des activités du CSE :
Formation des élus ;
Gérer les programmes des activités sociales et culturels ;
Gestion des agendas, réunions, membres.
Pour les institutions sans but lucratif :
Traitements mis en œuvre par une association, une fondation ou toute autre institution sans but lucratif pour la gestion de ses membres et de ses donateurs dans le cadre de ses activités habituelles dès lors que les données ne sont pas sensibles :
Gestion administrative des membres ;
Gestion administrative des donateurs ;
Action de prospection.
Cette liste accompagnée d’exemples n’est évidemment pas exhaustive, puisque le critère principal de la mise en place d’une analyse d’impact relative à la protection des données reste, la possibilité pour le traitement de présenter un risque élevé pour les droits et libertés des personnes physiques.
[1] Délibération n° 2018-326 du 11 octobre 2018 portant adoption de lignes directrices sur les analyses d’impact relatives à la protection des données (AIPD) prévues par le règlement général sur la protection des données (RGPD)