RGPD : La CNIL va diffuser la liste des traitements exigeant toujours une analyse d’impact
1 min
Droit
Droit
Selon le règlement général sur la protection des données personnelles, une analyse d’impact (AIPD) est toujours requise lorsqu’un traitement est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques » (article 35, paragraphe 1).
Il revient à chaque responsable de jauger ce risque et donc cette obligation. Néanmoins, dans une logique d’accompagnement, les autorités de contrôle européennes avaient publié en février 2017 neuf critères où une telle analyse est requise. Plus exactement, un responsable « peut considérer qu’un traitement satisfaisant à deux [des neuf] critères nécessite une AIPD » : surveillance systématique, données sensibles, données visant des personnes vulnérables, etc.
Selon nos informations, la CNIL diffusera la semaine prochaine la liste des traitements obligatoirement soumis à une analyse d’impact. Suivra ensuite, la liste inverse, celle où une telle analyse n’est jamais obligatoire.
Commentaires (5)
Abonnez-vous pour prendre part au débat
Déjà abonné ou lecteur ? Se connecter
Cet article est en accès libre, mais il est le produit d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles d'un média expert
Profitez d'au moins 1 To de stockage pour vos sauvegardes
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousLe 12/10/2018 à 10h07
Pour bien comprendre : ce sera la liste des données susceptibles d’être demandées (ou bien à éviter) pour la finalité du traitement ?
Le 12/10/2018 à 11h56
Non, l’article 35 du RGPD (règlement (UE) 2016⁄679) oblige à analyser les risques d’un traitement de données personnelles dans certains cas (traitement systématique, à grande échelle, de données sensibles…) par ailleurs, la CNIL peut préciser que dans certains cas, ces analyses sont obligatoires.
Ceci permet de s’assurer, sur la base de l’article 35(4) du RGPD, même quand les risques sont réduits par le responsable d’un traitement de données par différentes méthodes (chiffrement, pas de stockage en ligne ou autres), qu’une analyse est faite.
Le 12/10/2018 à 12h11
Merci, je me doutais que j’avais mal compris
" />
Le 26/10/2018 à 10h40
Bonjour, le délai que vous annonciez a été dépassé. De nouveaux éléments en votre possession expliquant ce retard?
Le 06/11/2018 à 09h40
Signaler un commentaire
Voulez-vous vraiment signaler ce commentaire ?