
Par sa Délibération n° 2019-118 du 12 septembre 2019 la CNIL a listé les types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données n’est pas requise. Parmi les dispenses figurent les traitements mis en œuvre par les avocats dans le cadre de l’exercice de leur profession à titre individuel.
Article 35.1 du RGDP
L’article 35.1 du Règlement général relatif à la protection des données (RGPD) prévoit qu’une analyse d’impact relative à la protection des données (AIPD) doit être menée quand un traitement est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées ». L’article 35.5 du RGPD permet aux autorités de contrôle d’établir et de publier une liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données n’est pas requise. L’article 35.6 du RGPD prévoit que, lorsque cette liste concerne des « activités de traitements liées à l’offre de biens ou de services à des personnes concernées ou au suivi de leur comportement dans plusieurs États membres, ou peuvent affecter sensiblement la libre circulation des données à caractère personnel au sein de l’Union », elle doit être soumise au mécanisme de « contrôle de la cohérence » et doit être communiquée au Comité européen de la protection des données (CEPD).
Autres obligations intactes
Attention : si la présence d’une opération de traitement sur la liste fixée dispense de réaliser une analyse d’impact, le responsable de traitement reste soumis à l’ensemble des autres obligations qui lui incombent en application du RGPD et de la loi du 6 janvier 1978. Notamment, le fait qu’une activité de traitement relève de cette liste ne signifie pas qu’un responsable de traitement est exempté des obligations énoncées à l’article 32 du RGPD en matière de sécurité du traitement.
Liste des traitements dispensés
Les douze types de traitements ci-dessous sont dispensés d’étude d’impact :
- Les traitements, mis en œuvre uniquement à des fins de ressources humaines et dans les conditions prévues par les textes applicables, pour la seule gestion du personnel des organismes qui emploient moins de 250 personnes, à l’exception du recours au profilage.
- Les traitements de gestion de la relation fournisseurs.
- Les traitements mis en œuvre dans les conditions prévues par les textes relatifs à la gestion du fichier électoral des communes.
- Les traitements destinés à la gestion des activités des Comités d’entreprise et d’établissement.
- Les traitements mis en œuvre par une association, une fondation ou toute autre institution sans but lucratif pour la gestion de ses membres et de ses donateurs dans le cadre de ses activités habituelles dès lors que les données ne sont pas sensibles.
- Les traitements de données de santé nécessaires à la prise en charge d’un patient par un professionnel de santé exerçant à titre individuel au sein d’un cabinet médical, d’une officine de pharmacie ou d’un laboratoire de biologie médicale.
- Les traitements mis en œuvre par les avocats dans le cadre de l’exercice de leur profession à titre individuel.
- Les traitements mis en œuvre par les greffiers des tribunaux de commerce aux fins d’exercice de leur activité.
- Les traitements mis en œuvre par les notaires aux fins d’exercice de leur activité notariale et de rédaction des documents des offices notariaux.
- Les traitements mis en œuvre par les collectivités territoriales et les personnes morales de droit public et de droit privé aux fins de gérer les services en matière d’affaires scolaires, périscolaires et de la petite enfance.
- Les traitements mis en œuvre aux seules fins de gestion des contrôles d’accès physiques et des horaires pour le calcul du temps de travail, en dehors de tout dispositif biométrique, à l’exclusion des traitements des données qui révèlent des données sensibles ou à caractère hautement personnel.
- Les traitements relatifs aux éthylotests, strictement encadrés par un texte et mis en œuvre dans le cadre d’activités de transport aux seules fins d’empêcher les conducteurs de conduire un véhicule sous l’influence de l’alcool ou de stupéfiants.


Points juridiques et Modèles de contrats associés:
- Détournement de la finalité d'un traitement de données La consultation par un capitaine de gendarmerie, à des fins personnelles, des fichiers de gendarmerie ainsi que de nombreuses fiches individuelles de renseignements pour rechercher des informations concernant l'employeur de sa fille ainsi que plusieurs autres personnes constitue un détournement de la finalité d'un traitement de données à caractère personnel. Un tel manquement est constitutif d'une faute de nature à…
- Google France non responsable de traitement de données En matière de traitement illicite de données personnelles, Google France peut être mise hors de cause. L’article 3 de la loi du 6 janvier 1978 (version applicable aux faits de la cause) dispose que le responsable d’un traitement de données à caractère personnel est la personne qui détermine ses finalités et ses moyens.
- Covid-19 : le traitement des données de santé du salarié La CNIL a procédé à un rappel de la législation sur la collecte de données personnelles en cette période de pandémie. Il s’agit de déterminer les conditions dans lesquelles il est possible de collecter, en dehors de toute prise en charge médicale, des données concernant des employés/agents ou visiteurs afin de déterminer
- Panneaux publicitaires : l’impact des travaux de ravalement Dans le cadre d’une location de panneau publicitaire, pour opposer valablement une exception d’exécution, il appartient au preneur de démontrer s’être trouvé dans l’impossibilité d’exploiter l’emplacement publicitaire. La résiliation n’est pas fondée si des travaux de ravalement, ayant conduit à la dépose des deux panneaux publicitaires, n’ont duré que 18 jours
- Dissolution de société : impact de l’extension de la… L’extension de la procédure collective à une deuxième société permet aux créanciers de bénéficier d’un avantage certain, celui de ne pas avoir à déclarer leur créance au compte de cette deuxième société. Suite à l’extension à une deuxième société, de la dissolution d’une première société dont elle était créancière
- Impact sanitaire de la 5G : pas de risques avérés L’inspection générale des affaires sociales a publié son Rapport sur la 5G en France. Le Rapport conclut à l’absence de risques sanitaires avérés pour la santé. Estimer précisément l’évolution des niveaux d’exposition en France du fait de l’arrivée de la 5G s’avère toutefois ardu.
- Impact des champs électromagnétiques sur la santé des… Un Rapport déposé au Sénat le 25 mars 2021 a conclu à l’absence de preuve scientifique de l’impact des champs électromagnétiques sur la santé des animaux d'élevage.
- Insuffisances professionnelles du salarié : impact du manque… L’employeur est responsable de l’insuffisance professionnelle de son salarié si des responsabilités sont confiées à celui-ci sans une formation adaptée et sans lui donner soit une zone géographique plus petite pour commencer soit lui donner des moyens humains conséquents et expérimentés pour effectuer toutes les taches.
- Charte d'Engagements pour la réduction de l'impact… Des acteurs majeurs du E-commerce ont signé avec le Ministère de l'écologie, la Charte d'Engagements pour la réduction de l'impact environnemental du commerce en ligne. Il s'agit notamment d'informer le consommateur de l’impact environnemental de la livraison en lui proposant, à partir du 1er janvier 2023, plusieurs modalités de livraison des produits (par variation du point de livraison, du délai…
- Données personnelles de vigilance sanitaire : nouveau… Par sa Délibération n° 2019-057 du 9 mai 2019, la CNIL a adopté un nouveau référentiel relatif aux traitements de données à caractère personnel mis en œuvre à des fins de gestion des vigilances sanitaires. Les principes dégagés par la CNIL, dans ce référentiel, constituent une aide à la réalisation de l'analyse d'impact à la protection des données que les…
- RCS : obtenir l’effacement de ses données personnelles ? La CJUE a considéré que les États membres ne peuvent pas garantir aux personnes physiques dont les données sont inscrites dans le registre des sociétés le droit d’obtenir, après un certain délai à compter de la dissolution de la société, l’effacement des données à caractère personnel les concernant. En effet, le traitement de ces données personnelles répond à un objectif…
- Données personnelles des salariés : le droit d’accès des… L'employeur est tenu dans le cadre de la négociation préélectorale à une obligation de loyauté. A ce titre, il doit fournir aux syndicats participant à cette négociation, et sur leur demande, les éléments nécessaires au contrôle de l'effectif de l'entreprise et de la régularité des listes électorales.
- Données personnelles et pauses déjeuners du salarié La délibération de la CNIL n° 02-001 du 08 janvier 2002 concernant la gestion des contrôles d'accès aux locaux de restauration prévoit que les informations relatives au type de consommation ne peuvent être collectées que sous la forme : « hors d'oeuvres », « plat
- Données personnelles des personnes incarcérées Les personnes incarcérées disposent bien d’un droit d’accès (mais non d’opposition) aux informations nominatives les concernant. Ce droit d’accès s’exerce dans des conditions très encadrées.
- Données personnelles des téléspectateurs et abonnés C’est l’une des réformes majeures de 2020 : le projet de loi relatif à la communication audiovisuelle et à la souveraineté culturelle à l’ère numérique risque de chahuter la loi n°86-1067 du 30 septembre 1986.