Pas de PIA pour les traitements suivants

• Thiebaut Devergranne

Si vous avez travaillé quelque peu avec l’étude d’impact, aussi dénommée AIPD (ou en anglais PIA - privacy impact assessment), vous savez que c’est un exercice difficile et fastidieux à mener ! Certes, certains consultants SSI sont familiers des procédures en matière d’analyse de risque, mais pour la majorité des personnes qui doivent mettre un traitement en conformité, se plonger dans des études de risque n’est pas des plus simple.

Vous serez donc heureux d’apprendre que la CNIL vient de publier, comme lui en donne la possibilité l’article 35 du règlement, une liste de traitements pour lesquels une PIA n’est jamais obligatoire, j’ai réalisé une petite vidéo pour vous en parler :

Je vous livre la liste ci-après, publiée au JO le 22 octobre :

  • Traitements, mis en œuvre uniquement à des fins de ressources humaines et dans les conditions prévues par les textes applicables, pour la seule gestion du personnel des organismes qui emploient moins de 250 personnes, à l’exception du recours au profilage.
  • Traitements de gestion de la relation fournisseurs.
  • Traitements mis en œuvre dans les conditions prévues par les textes relatifs à la gestion du fichier électoral des communes.
  • Traitements destinés à la gestion des activités des Comités d’entreprise et d’établissement.
  • Traitements mis en œuvre par une association, une fondation ou toute autre institution sans but lucratif pour la gestion de ses membres et de ses donateurs dans le cadre de ses activités habituelles dès lors que les données ne sont pas sensibles.
  • Traitements de données de santé nécessaires à la prise en charge d’un patient par un professionnel de santé exerçant à titre individuel au sein d’un cabinet médical, d’une officine de pharmacie ou d’un laboratoire de biologie médicale.
  • Traitements mis en œuvre par les avocats dans le cadre de l’exercice de leur profession à titre individuel.
  • Traitements mis en œuvre par les greffiers des tribunaux de commerce aux fins d’exercice de leur activité.
  • Traitements mis en œuvre par les notaires aux fins d’exercice de leur activité notariale et de rédaction des documents des offices notariaux.
  • Traitements mis en œuvre par les collectivités territoriales et les personnes morales de droit public et de droit privé aux fins de gérer les services en matière d’affaires scolaires, périscolaires et de la petite enfance.
  • Traitements mis en œuvre aux seules fins de gestion des contrôles d’accès physiques et des horaires pour le calcul du temps de travail, en dehors de tout dispositif biométrique. A l’exclusion des traitements des données qui révèlent des données sensibles ou à caractère hautement personnel.
  • Traitements relatifs aux éthylotests, strictement encadrés par un texte et mis en œuvre dans le cadre d’activités de transport aux seules fins d’empêcher les conducteurs de conduire un véhicule sous l’influence de l’alcool ou de stupéfiants.

Attention, si vous travaillez sur le sujet, rappelez-vous également que la CNIL a publié il y a de cela quelques mois la liste des traitements pour lesquels une PIA est toujours obligatoire !

Si l’application du RGPD n’est pas claire pour vous, jetez un oeil à nos formations, elles sont très axées pratiques, et vous permettront de réduire vos risques (ou ceux de vos clients) rapidement en appliquant des processus standard.


Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit. Il travaille en droit des nouvelles technologies depuis plus de 15 ans, dont 6 passés au sein des services du Premier Ministre. En savoir plus.

formation RGPD

VOS CGV (gratuit)