RÉFÉRENTIEL AIPD DE LA CNIL

Les autorités de contrôle publient en coordination avec le comité européen à la protection des données (EDPD) une liste de situations complémentaires nécessitant la réalisation d'une analyse d'impact.

ANTICIPER LES SITUATIONS D'IAPD SOUMISES À LA DOCTRINE DE L'AUTORITÉ DE CONTRÔLE

Dans la continuité des critères communs de l'AIPD, l'autorité de contrôle soumet des domaines complémentaires de traitement à la réalisation d'une AIPD.

La liste complémentaire de l'autorité de contrôle française vise à prendre en compte des situations pouvant présenter des zones grises par rapport aux critères communs :

  1. Les traitements de données de santé mis en œuvre par les établissements de santé ou les établissements médico- sociaux pour la prise en charge des personnes, ainsi que les traitements portant sur des données génétiques de personnes vulnérables

  2. Traitements établissant un profilage de personnes physiques à des fins de gestion des ressources humaines, ainsi que ceux qui ont pour finalité de surveiller de manière constante l’activité d'employés

  3. Traitements ayant pour finalité la gestion des alertes et des signalements en matière sociale et sanitaire ainsi qu'en matière professionnelle

  4. Traitements des données de santé nécessaires à la constitution d’un entrepôt de données ou d’un registre

  5. Traitements impliquant le profilage des personnes pouvant aboutir à leur exclusion du bénéfice d’un contrat ou à sa suspension ou à sa rupture, ainsi que les traitements mutualisés de manquements contractuels constaté, susceptibles d’aboutir aux mêmes effets

  6.  Traitements de données biométriques aux fins d'identifier une personne physique de manière unique parmi lesquelles figurent des personnes vulnérables

  7. Instruction des demandes et gestion des logements sociaux)

  8. Traitements ayant pour finalité l’accompagnement social ou médico-social des personnes

  9. Traitements de données de localisation à large échelle

Les autorités de contrôle peuvent publier une liste de situations complémentaires qui ne requièrent pas la réalisation d'AIPD dans des cas où il est avéré que les traitements ne présentent pas de risques élevés.

LES POINTS A RETENIR :

Il convient d'intégrer dans le processus de travail et d'organisation méthodique et pluridisciplinaire de l'AIPD une check-list liée aux cas complémentaires de réalisation obligatoire d'une IAPD,  de même qu'au sein de la documentation des projets.

​​

+33 1 85 09 72 54

122 avenue des Champs Elysées 75008 Paris