Données personnelles

Traitement de données personnelles dispensés d’étude d’impact | 24 octobre 2019

Par sa Délibération n° 2019-118 du 12 septembre 2019 la CNIL a listé les types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données n’est pas requise. Parmi les dispenses figurent les traitements mis en œuvre par les avocats dans le cadre de l’exercice de leur profession à titre individuel.

Article 35.1 du RGDP

L’article 35.1 du Règlement général relatif à la protection des données (RGPD) prévoit qu’une analyse d’impact relative à la protection des données (AIPD) doit être menée quand un traitement est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées ». L’article 35.5 du RGPD permet aux autorités de contrôle d’établir et de publier une liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données n’est pas requise. L’article 35.6 du RGPD prévoit que, lorsque cette liste concerne des « activités de traitements liées à l’offre de biens ou de services à des personnes concernées ou au suivi de leur comportement dans plusieurs États membres, ou peuvent affecter sensiblement la libre circulation des données à caractère personnel au sein de l’Union », elle doit être soumise au mécanisme de « contrôle de la cohérence » et doit être communiquée au Comité européen de la protection des données (CEPD).

Autres obligations intactes

Attention : si la présence d’une opération de traitement sur la liste fixée dispense de réaliser une analyse d’impact, le responsable de traitement reste soumis à l’ensemble des autres obligations qui lui incombent en application du RGPD et de la loi du 6 janvier 1978. Notamment, le fait qu’une activité de traitement relève de cette liste ne signifie pas qu’un responsable de traitement est exempté des obligations énoncées à l’article 32 du RGPD en matière de sécurité du traitement.

Liste des traitements dispensés

 

Les douze types de traitements ci-dessous sont dispensés d’étude d’impact :

  1. Les traitements, mis en œuvre uniquement à des fins de ressources humaines et dans les conditions prévues par les textes applicables, pour la seule gestion du personnel des organismes qui emploient moins de 250 personnes, à l’exception du recours au profilage.

  1. Les traitements de gestion de la relation fournisseurs.

  1. Les traitements mis en œuvre dans les conditions prévues par les textes relatifs à la gestion du fichier électoral des communes.

  1. Les traitements destinés à la gestion des activités des Comités d’entreprise et d’établissement.

  1. Les traitements mis en œuvre par une association, une fondation ou toute autre institution sans but lucratif pour la gestion de ses membres et de ses donateurs dans le cadre de ses activités habituelles dès lors que les données ne sont pas sensibles.

  1. Les traitements de données de santé nécessaires à la prise en charge d’un patient par un professionnel de santé exerçant à titre individuel au sein d’un cabinet médical, d’une officine de pharmacie ou d’un laboratoire de biologie médicale.

  1. Les traitements mis en œuvre par les avocats dans le cadre de l’exercice de leur profession à titre individuel.

  1. Les traitements mis en œuvre par les greffiers des tribunaux de commerce aux fins d’exercice de leur activité.

  1. Les traitements mis en œuvre par les notaires aux fins d’exercice de leur activité notariale et de rédaction des documents des offices notariaux.

  1. Les traitements mis en œuvre par les collectivités territoriales et les personnes morales de droit public et de droit privé aux fins de gérer les services en matière d’affaires scolaires, périscolaires et de la petite enfance.

  1. Les traitements mis en œuvre aux seules fins de gestion des contrôles d’accès physiques et des horaires pour le calcul du temps de travail, en dehors de tout dispositif biométrique, à l’exclusion des traitements des données qui révèlent des données sensibles ou à caractère hautement personnel.

  1. Les traitements relatifs aux éthylotests, strictement encadrés par un texte et mis en œuvre dans le cadre d’activités de transport aux seules fins d’empêcher les conducteurs de conduire un véhicule sous l’influence de l’alcool ou de stupéfiants.

Points juridiques et Modèles de contrats associés:

  • Statuts d'Agence immobilière 2021/2022 à télécharger Le nouveau modèle de Statuts d’Agence immobilière est disponible en téléchargement. Données personnelles traitées par les Agences immobilières Si vous exploitez une Agence immobilière, la CNIL a publié son nouveau référentiel pour vous aider à traiter vos données personnelles en conformité. 1/ Ce référentiel s'adresse aux personnes physiques ou morales qui, à titre professionnel, mettent en location un local à…
  • LeBoncoin.fr c/ Entreparticuliers.com : indexation… Extraire massivement des petites annonces d’une plateforme tierce même avec la mise en place d’un lien retour porte atteinte aux droits de l’éditeur/producteur de la base de données.
  • Données de santé : Health Data Hub et Microsoft validés Le Conseil d’Etat n’a pas fait droit aux partisans d’une souveraineté numérique française en validant le choix du Gouvernement de confier l’hébergement des données de santé « Covid 19 » à la société Microsoft. L’arrêté du 21 avril 2020 pris pour faire face à l'épidémie de covid-19 et qui a confié la collecte et le traitement de données de santé…
  • Sous-traitant de données personnelles : six bonnes… Dans le prolongement de son Guide de la sous-traitance, la CNIL a publié son guide des six bonnes pratiques pour respecter les données personnelles en matière de sous-traitance. Le sous-traitant et le responsable de traitement sont tenus à un certain nombre de nouvelles obligations en application du RGPD. La CNIL, qui a réalisé des vérifications auprès de 15 fournisseurs de…
  • Formulaires en ligne : se mettre en conformité avec le RGDP La création d’un compte en ligne sur le site d’un éditeur de presse en ligne ne doit pas seulement être accompagnée des informations relatives aux droits d’opposition, d’accès et de rectification mais également de l’intégralité des mentions d’information obligatoires prévues par le I de l’article 32 de la loi du 6 janvier 1978.
  • CGU de Facebook : clauses abusives sanctionnées La clause prévoyant la primauté de la version anglaise des CGU de Facebook sur la version française en cas de conflit entre ces deux versions linguistiques est illicite, en ce qu’elle ne permet pas l’accès effectif au contrat, le consommateur français se voyant appliquer un texte qui n’est pas écrit dans sa langue et qu’il ne peut, de ce fait,…
  • RGDP : UFC Que Choisir c/ Steam L’UFC Que Choisir est recevable à agir contre un site internet à destination des consommateurs français, pour violation du Règlement européen relatif à la protection des données personnelles n° 2016/679 du 27 avril 2016 dit RGPD. Les associations de consommateurs agréées sont recevables à solliciter en justice la cessation d’agissements illicites et à demander la suppression de clauses abusives et/ou…
  • Réseaux sociaux et plateformes de vente : l’IA… L’administration fiscale s’est dotée d’un nouvel outil de surveillance des réseaux sociaux et sites communautaires de ventes en ligne (Le Boncoin, Vinted …) aux fins de lutter contre la fraude fiscale et les revenus non déclarés. Le Décret n° 2021-148 du 11 février 2021 a fixé les modalités de mise en œuvre des traitements informatisés et automatisés permettant la collecte…
  • Vaccination Covid : le partenariat avec Doctolib validé Dans le cadre de la campagne de vaccination contre la covid-19, le ministère de la Santé a confié la gestion des rendez-vous de vaccination sur internet à différents prestataires dont la société Doctolib. Plusieurs associations ont contesté sans succès cette décision aux motifs que ce partenariat avec la société Doctolib en ce qu'il repose sur un hébergement des données de…
  • Les CGU d'iTunes réputées non écrites Par une décision fleuve (+ 100 pages) et sur saisine de l’UFC Que Choisir, une partie substantielle des CGU d’iTunes a été réputée non écrite par le Tribunal judiciaire de Paris. L’association de consommateurs a également obtenu 20.000 euros de dommages et intérêts.
  • Module Facebook Like : la coresponsabilité des éditeurs   Le gestionnaire d’un site Internet équipé du bouton « j’aime » de Facebook peut être conjointement responsable avec Facebook de la collecte et de la transmission à Facebook des données à caractère personnel des visiteurs de son site. L’obligation d‘information des internautes est opposable au gestionnaire du site ....
  • Google LLC : Sanction CNIL de 50 millions d’euros La CNIL a prononcé une sanction de 50 millions d’euros contre Google LLC. Une décision-alerte aux acteurs majeurs de l’internet, à l’heure du nouveau cadre RGDP et à la hauteur du droit des personnes dont les données personnelles sont collectées
  • Déréférencement de données relevant de la vie privée Le droit au déréférencement s’étend aux accusations d’adultère publiées en ligne. Une femme a obtenu le déréférencement d’articles et vidéos faisant état de sa relation extraconjugale avec un ancien Président de la république.
  • Google My Business : le droit d'opposition des… C’est à nouveau sans succès qu’un professionnel (chirurgien-dentiste) a tenté de faire supprimer sa fiche professionnelle (et les notations et commentaires associés) de Google My Business.
  • Covid 19 : installation illégale de caméras thermiques Après avoir jugé illégal l’usage de drones au-dessus de la capitale, le Conseil d’Etat, saisi en référé par la Ligue des droits de l’homme a jugé que la commune de Lisses (Essonne), en installant des caméras thermiques mobiles, a porté une atteinte manifestement illégale au droit au respect de la vie privée des élèves et du personnel, qui comprend le…
Termes associés, , , , , , ,
Haut
error: Content is protected !!