Pour rappel, le RGPD met à la charge du responsable de traitement l’obligation de réaliser des analyses d’impact sur la protection des données (« PIA ») pour les traitements présentant un « risque élevé pour la protection des droits et libertés des personnes ».
Lorsqu’un DPO a été désigné, le responsable de traitement doit prendre conseil auprès de ce dernier. Les conseils prodigués par le DPO et les décisions prises doivent être documentés dans la PIA.
Le RGPD prévoit également l’obligation, pour les autorités de contrôle nationales, de publier et établir une liste des types d’opérations de traitement devant impérativement être soumises à PIA.
Le 25 septembre 2018, le CEPD (ancien G29) a adopté un avis sur 22 projets de listes de traitements devant faire l’objet d’une PIA établi par certaines autorités de contrôle nationales dont la CNIL. En substance, l’avis du CEPD concernant le projet de liste soumis par la CNIL appelle les observations suivantes :
– Nature indicative de la liste. Le CEPD souligne que la liste de traitements devant faire l’objet d’une PIA établie par les autorités de contrôle n’est pas exhaustive, et recommande donc à la CNIL de le préciser dans sa liste.
– Référence explicites aux lignes directrices du G29. Le CEPD demande à la CNIL de préciser expressément que sa liste repose sur les critères définis dans ses lignes directrices du G29 relatives aux PIA (notamment, la réalisation d’évaluation ou de notation, a surveillance systématique des personnes, le traitement de données sensibles ou concernant des personnes vulnérables, opérations de traitement à grande échelle, etc).
– Traitements comportant des données biométriques et génétiques. Pour ces deux types de traitement, la CNIL impose la réalisation d’une PIA. Le CEPD souhaite que la CNIL modifie sa liste en précisant que ces traitements doivent faire l’objet d’une PIA si au moins un autre des critères issu des lignes directrices du G29 est rempli.
– Traitements de données de localisation. Le CEPD encourage la CNIL à inclure ce type de traitement dans sa liste.
– Traitements impliquant une surveillance des salariés. La CNIL exige la réalisation de PIA pour les traitements qui impliquent une surveillance systématique des salariés. Le CEPD recommande à la CNIL de préciser qu’une PIA est nécessaire lorsque deux critères définis par les lignes directrices du G29 sont présents (ce qui peut être le cas lorsque le traitement porte sur des données relatives à des personnes vulnérables et à une surveillance systématique).