L’article 35.1 du RGPD impose aux responsables de traitement de procéder à une analyse d’impact relative à la protection des données lorsque le traitement « est susceptible d’engendrer un risque élevé pour les droits et les libertés des personnes physiques ».

De sorte à guider les acteurs dans l’évaluation d’un tel niveau de risque, le « G29 », désormais Comité européen à la protection des données CEPD, a adopté des lignes directrices (WP248 du 4 avril 2017), dans lesquelles il retient une liste de neuf critères, le cumul de deux d’entre eux faisant «  basculer » le traitement dans un niveau de risque élevé.

Plus récemment, par délibération n° 2018-327 du 11 octobre 2018, la CNIL dressait la liste des opérations de traitements pour lesquelles une analyste d’impact relative à la protection des données est requise,« liste noire », et annonçait, par délibération du même jour, l’adoption prochaine d’une liste des traitements n’y étant pas soumis «  liste blanche », tel que prévu par les dispositions de l’article 35.5.

L’adoption d’une telle liste comprenant des traitements liés à l'offre de biens ou de services à des personnes, au suivi de leur comportement dans plusieurs États membres ou encore susceptibles d’affecter sensiblement la libre circulation des données au sein de l'Union est soumise au mécanisme de contrôle de la cohérence de l’article 63 du RGPD. Il s’agit d’éviter d’éventuelles distorsions d’interprétation et d’application du texte et de permettre aux autorités de contrôle d’accomplir pleinement leur mission de coopération.

Ainsi, saisi de ce projet de liste, le CEPD, dans son avis n° 2019-13 du 10 juillet 2019, invite la CNIL à opérer des modifications ou à apporter des précisions sur certains traitements.

Il convient de rappeler que les traitements qui figureront dans cette liste ne sont pas pour autant dispensés du respect du dispositif relatif à la protection des données, notamment de l’obligation de sécurité dont le non-respect est fréquemment sanctionné par les autorités de contrôles.

La délibération de la CNIL annoncée en octobre dernier est vivement attendue.

Odile Jami-Caston, juriste experte, directrice du pôle Data Privacy & RGPD Compliance 

Partager: