Dans une délibération en date du 12 septembre 2019, publiée au JO du 22 octobre 2019, la CNIL vient affiner sa doctrine.
Pour rappel l'article 35 du GDPR prévoit "Lorsqu'un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l'impact.."
L'article 35. 3 vise 3 cas dans lesquels l'analyse d'impact est requise :
a) l'évaluation systématique et approfondie d'aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l'égard d'une personne physique ou l'affectant de manière significative de façon similaire;
b) le traitement à grande échelle de catégories particulières de données visées à l'article 9, paragraphe 1, ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article 10;
ou c) la surveillance systématique à grande échelle d'une zone accessible au public.
Les articles 35.4 et 35.5 prévoit que les autorités de protection et de contrôle peuvent établir des listes de traitement qui nécessitent un PIA ou qui n'en nécessitent pas.
C'est donc sur ce fondement que la CNIL est intervenue et liste 12 traitements.
On y trouve parmi les traitements RH :
pour la seule gestion du personnel des organismes qui emploient moins de 250 personnes, pour la gestion des activités des Comités d'entreprise et d'établissement, aux seules fins de gestion des contrôles d'accès physiques et des horaires pour le calcul du temps de travail, en dehors de tout dispositif biométrique. A l'exclusion des traitements des données qui révèlent des données sensibles ou à caractère hautement personnel.
Parmi les traitements de la relation commerciale,la gestion de la relation fournisseurs.
Elle avait déjà publié une liste des traitements qui nécessitent une AIPD le 11 octobre 2018.
Le groupe des CNIL européennes G29 avait publié des lignes directrices.
https://www.cnil.fr/sites/default/files/atoms/files/wp248_rev.01_fr.pdf
Le 10 octobre dernier elle est venue mettre à jour sa fiche conseil sur le sujet :
La CNIL a mis en place un outil en ligne qui permet de réaliser une analyse d'impact : https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil
