Conformément au Règlement européen de protection des données (RGPD), les autorités de protection des données (pour la France il s’agit de la CNIL) peuvent établir une liste des traitements pour lesquels une analyse d’impact relative à la protection des données (AIDP) n’est pas requise. L’AIPD est un outil permettant de construire un traitement conforme au RGPD et respectueux de la vie privée.
C’est dans ce contexte que la CNIL a adopté le 12 septembre dernier une telle liste des traitements, après l’avoir préalablement soumise à l’avis du Comité européen de la protection des données (CEDP). Ce comité comprend les chefs de l’autorité de contrôle de chaque Etat membre de l’Union et a pour mission de s’assurer de la cohérence du RGPD, mais aussi de son application homogène à l’échelle européenne.
Cette liste comporte ainsi douze types d’opérations de traitement pour lesquelles elle n’estime pas obligatoire de réaliser une étude d’impact, car les traitements en question ne sont pas susceptibles d’engendrer un « risque élevé pour les droits et libertés des personnes physiques » au sens de l’article 35.5 du RGPD.
Ces termes font référence aux « droits à la protection des données et à la vie privée, mais s’entend également, le cas échéant, pour d’autres droits fondamentaux, tels que la liberté de parole, la liberté de pensée, la liberté de circulation, l’interdiction de toute discrimination ainsi que la liberté de conscience et de religion ».
Il est à noter que les traitements exonérés de l’analyse d’impact doivent néanmoins faire l’objet d’une évaluation de leur conformité au RGPD, tant sur le plan juridique qu’en matière de sécurité. Par ailleurs, en cas de doute sur l’opportunité de réaliser ou non une AIEDP, le CEDP recommande d’en réaliser une.