RGPD : quelles données ne nécessitent pas une analyse d’impact ?

  • Fiche rédigée par l’équipe éditoriale de WebLex
  • Dernière vérification de la fiche : 04/11/2019
  • Dernière mise à jour de la fiche : 04/11/2019
Sources :

Pour qu’une entreprise ou une association respecte le Règlement Général sur la Protection des Données (RGPD), il peut être nécessaire qu’elle réalise une analyse d’impact, qui n’est toutefois pas requise dans certains cas : lesquels ?


RGPD et analyse d’impact : pas obligatoire dans certains cas

Pour qu’une entreprise ou une association soit conforme au Règlement Général sur la Protection des Données (RGPD), il est nécessaire qu’elle réalise une cartographie des données à caractère personnel qu’elle est susceptible de collecter.

Cette étape nécessite de réaliser un inventaire de ses traitements, de les classifier, de déterminer les objectifs poursuivis et d’identifier les acteurs qui traitent ces données.

Selon les résultats de cette cartographie, il peut être opportun de réaliser une analyse d’impact, voire obligatoire dans certaines situations.

Une analyse d’impact se décompose en 3 parties :

La Cnil a publié en 2018 une liste de traitement pour lesquels il est obligatoire de procéder à une analyse d’impact. Vous pouvez la retrouver à l’adresse suivante : https://www.cnil.fr/sites/default/files/atoms/files/liste-traitements-avec-aipd-requise-v2.pdf.

En complément, la Cnil vient de publier une nouvelle liste, mais cette fois-ci concernant les traitements de données pour lesquels il n’est pas nécessaire de faire une analyse d’impact. Il est possible de la consulter sur son site web, à l’adresse suivante : https://www.cnil.fr/fr/liste-traitements-aipd-non-requise.

Certains traitements listés vont particulièrement intéresser les entreprises. En voici quelques-uns, à titre d’exemple.

Selon la Cnil, il n’est pas requis de faire une analyse d’impact, pour les entreprises de moins de 250 salariés, pour les traitements permettant :

La Cnil estime aussi qu’il n’est pas nécessaire de faire une analyse d’impact pour les traitements de gestion de la relation fournisseurs. Sont ici notamment visés, les traitements permettant :

D’autres traitements ne nécessitant pas d’analyse d’impact vont concerner les comités d’entreprise et d’établissement. Il s’agit notamment des traitements permettant :

D’autres traitements ne nécessitant pas d’analyse d’impact vont intéresser seulement certains secteurs. Ainsi, l’analyse d’impact n’est pas requise pour les traitements suivants :

En raison de la place qu’occupe le numérique dans la vie quotidienne, l’Union Européenne a souhaité adapter la règlementation concernant la protection des données personnelles et sécuriser leur utilisation, via une nouvelle réglementation, appelée « RGPD », applicable depuis le 25 mai 2018…