CNPD : liste des traitements pour lesquels une AIPD est requise

11 mars 2019

Accueil | Actualités

CNPD

Obligation d'effectuer une AIPD

Conformément à l’article 35.4 du RGPD, la CNPD a élaboré une liste de traitements pour lesquels une analyse d’impact sur la protection des données (AIPD – DPIA en anglais) est obligatoire.

Voici cette liste :

Les opérations de traitement portant sur des données génétiques telles que définies à l’article 4 (13) du RGPD, en combinaison avec au moins un autre critère figurant dans les lignes directrices du Comité européen de la protection des données (ci-après : CEPD »),^[1] à l’exception des professionnels de santé qui fournissent des services de santé ;

Les opérations de traitement qui incluent des données biométriques aux fins d’identification des personnes concernées en combinaison avec au moins un autre critère des lignes directrices du CEPD ;

Les opérations de traitement impliquant la combinaison, la correspondance ou la comparaison de données à caractère personnel collectées à partir d’opérations de traitement ayant des finalités différentes (provenant du même ou de différents responsables du traitement) – à condition qu’elles produisent des effets juridiques à l’égard de la personne physique ou aient une incidence significative et similaire sur la personne physique ;

Les opérations de traitement qui consistent en ou qui comprennent un contrôle régulier et systématique des activités des employés – à condition qu’elles puissent produire des effets juridiques à l’égard des employés ou les affecter de manière aussi significative ;

Les opérations de traitement de fichiers susceptibles de contenir des données à caractère personnel de l’ensemble de la population nationale, à condition qu’une telle DPIA n’ait pas déjà été réalisée dans le cadre d’une analyse d’impact générale dans le contexte de l’adoption de cette base juridique ;

Les opérations de traitement à des fins de recherche scientifique ou historique ou à des fins statistiques au sens des articles 63 à 65 de la loi du 1^er août 2018 portant organisation de la Commission nationale pour la protection des données et du régime général sur la protection des données ;

Les opérations de traitement qui consistent en un suivi systématique de la localisation de personnes physiques ;

Les opérations de traitement reposant sur la collecte indirecte de données à caractère personnel en conjonction avec au moins un autre critère des lignes directrices du CEPD lorsqu’il n’est ni possible / ni réalisable de garantir le droit à l’information.

Lien vers l’actualité

Partager cet article

CEPD : publication du rapport sur l’implémentation du RGPD

Règlement sur la cybersécurité