Voir toutes les actualités
04 11
2019
Actu Juridique

RGPD : quelles données ne nécessitent pas une analyse d’impact ?

Rédigé par l'équipe WebLex.

Pour qu’une entreprise ou une association respecte le Règlement Général sur la Protection des Données (RGPD), il peut être nécessaire qu’elle réalise une analyse d’impact, qui n’est toutefois pas requise dans certains cas : lesquels ?


RGPD et analyse d’impact : pas obligatoire dans certains cas

Pour qu’une entreprise ou une association soit conforme au Règlement Général sur la Protection des Données (RGPD), il est nécessaire qu’elle réalise une cartographie des données à caractère personnel qu’elle est susceptible de collecter.

Cette étape nécessite de réaliser un inventaire de ses traitements, de les classifier, de déterminer les objectifs poursuivis et d’identifier les acteurs qui traitent ces données.

Selon les résultats de cette cartographie, il peut être opportun de réaliser une analyse d’impact, voire obligatoire dans certaines situations.

Une analyse d’impact se décompose en 3 parties :


La Cnil a publié en 2018 une liste de traitement pour lesquels il est obligatoire de procéder à une analyse d’impact. Vous pouvez la retrouver à l’adresse suivante : https://www.cnil.fr/sites/default/files/atoms/files/liste-traitements-avec-aipd-requise-v2.pdf.

En complément, la Cnil vient de publier une nouvelle liste, mais cette fois-ci concernant les traitements de données pour lesquels il n’est pas nécessaire de faire une analyse d’impact. Il est possible de la consulter sur son site web, à l’adresse suivante : https://www.cnil.fr/fr/liste-traitements-aipd-non-requise.

Certains traitements listés vont particulièrement intéresser les entreprises. En voici quelques-uns, à titre d’exemple.

Selon la Cnil, il n’est pas requis de faire une analyse d’impact, pour les entreprises de moins de 250 salariés, pour les traitements permettant :


La Cnil estime aussi qu’il n’est pas nécessaire de faire une analyse d’impact pour les traitements de gestion de la relation fournisseurs. Sont ici notamment visés, les traitements permettant :


D’autres traitements ne nécessitant pas d’analyse d’impact vont concerner les comités d’entreprise et d’établissement. Il s’agit notamment des traitements permettant :


D’autres traitements ne nécessitant pas d’analyse d’impact vont intéresser seulement certains secteurs. Ainsi, l’analyse d’impact n’est pas requise pour les traitements suivants :