Accéder au contenu principal

Analyse d’impact relative à la protection des données : lignes directrices de la Cnil

La Cnil publie ses lignes directrices relatives aux analyses d'impact relatives à la protection des données (AIPD) et la liste des types d'opérations de traitement pour lesquelles une AIPD est requise.

La Cnil publie ses lignes directrices relatives aux analyses d’impact relatives à la protection des données (AIPD) et la liste des types d’opérations de traitement pour lesquelles une AIPD est requise.

L’analyse d’impact relative à la protection des données (AIPD) est un des éléments centraux du Règlement général sur la protection des données (RGPD) entré en vigueur le 25 mai 2018.
En complément de celles adoptées au niveau européen, la Commission nationale de l’informatique et des libertés (Cnil) publie ses propres lignes directrices pour préciser :- le périmètre de l’obligation d’effectuer une AIPD ;- les conditions de réalisation de l’AIPD ;- les cas dans lesquels une AIPD doit lui être transmise.
En outre, conformément à ce que prévoit l’article 35.4° du RGPD, la Cnil a élaboré une liste de quatorze types d’opérations de traitement pour lesquels elle estime nécessaire qu’une AIPD soit réalisée. Elle précise que cette liste n’est pas exhaustive, dans la mesure où des traitements qui n’y figurent pas peuvent néanmoins devoir faire l’objet d’une AIPD. C’est le cas des traitements susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques au regard des critères issus des lignes directrices européennes.
La Cnil adoptera prochainement la liste des traitements pour lesquels aucune AIPD n’est requise.

– Communiqué de presse de la Cnil du 6 novembre 2018 – « Analyse d’impact relative à la protection des données : publication d’une liste des traitements pour lesquels une analyse est requise » – https://www.cnil.fr/fr/analyse-dimpact-relative-la-protection-des-donnees-publication-dune-liste-des-traitements-pour

– Liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise – https://www.cnil.fr/fr/analyse-dimpact-relative-la-protection-des-donnees-publication-dune-liste-des-traitements-pour

– Délibération n° 2018-326 de la Commission nationale de l’informatique et des libertés du 11 octobre 2018 portant adoption de lignes directrices sur les analyses d’impact relatives à la protection des données (AIPD) prévues par le règlement général sur la protection des données (RGPD) – https://www.cnil.fr/fr/analyse-dimpact-relative-la-protection-des-donnees-publication-dune-liste-des-traitements-pour

– Délibération n° 2018-327de la Commission nationale de l’informatique et des libertés du 11 octobre 2018 portant adoption de la liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise – https://www.cnil.fr/fr/analyse-dimpact-relative-la-protection-des-donnees-publication-dune-liste-des-traitements-pour

– Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données – https://www.cnil.fr/fr/analyse-dimpact-relative-la-protection-des-donnees-publication-dune-liste-des-traitements-pour