RGPD : quoi de neuf pour la protection des données en mai 2021 ?

Analyse d’impact des traitements des données : fin des cas de dispense au 25 mai 2021

Pour rappel, en matière de protection des données, les responsables de traitement de données doivent, en principe, effectuer une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel (AIPD), lorsqu’elles peuvent engendrer un risque élevé pour les droits et libertés des personnes, notamment :

• par le recours aux nouvelles technologies ;
• compte tenu de la nature, du contexte et des finalités du traitement.

Ainsi, une AIPD est requise dans les cas suivants :

• évaluation systématique et approfondie d'aspects personnels concernant des personnes physiques fondée sur un traitement automatisé, y compris le profilage, sur la base de laquelle sont prises des décisions produisant des effets juridiques à l'égard de ces personnes ou les affectant de manière significative ;
• traitement à grande échelle de catégories particulières de données, ou de données à caractère personnel relatives à des condamnations pénales et à des infractions ;
• surveillance systématique à grande échelle d'une zone accessible au public.

La liste des opérations de traitement pour lesquelles une AIPD est requise est disponible auprès de la CNIL.

Cette AIPD doit, au minimum comporter :

• une description systématique des opérations de traitement envisagées et des finalités du traitement, y compris, le cas échéant, l'intérêt légitime poursuivi par le responsable du traitement ;
• une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités ;
• une évaluation des risques pour les droits et libertés des personnes concernées ;
• les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du RGPD (Règlement européen pour la protection des données), compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes affectées.

• Une dispense ?

La réalisation d’une telle analyse d’impact, en principe obligatoire depuis le 25 mai 2018, n’était cependant pas exigée dans certains cas :

• traitements ayant fait l’objet d’une formalité préalable auprès de la CNIL avant le 25 mai 2018, ou qui étaient dispensés de formalité ;
• traitements ayant été consignés au registre d’un correspondant « informatique et libertés ».

Cette dispense, d’une durée de 3 ans, arrive à sa fin.

En conséquence, à compter du 25 mai 2021, toute personne responsable du traitement des données devra effectuer cette analyse si le traitement envisagé est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes.