Pour rappel, le règlement européen (n°2016/679) du 27 avril 2016, dit le « RGPD », a modifié les règles applicables à la protection des données personnelles depuis le 25 mai 2018.
Désormais, l’employeur qui met en œuvre des traitements automatisés doit au préalable réaliser une analyse d’impact afin de déterminer si les données traitées sont sensibles et si le traitement de ces dernières peut s’avérer attentatoire aux libertés fondamentales du salarié.
Il y a un an, la CNIL avait diffusé une liste des données qui devaient faire l’objet de cette analyse d’impact.
Par une délibération publiée au JO du 22 octobre 2019, la CNIL complète cette information par une liste des traitements où l’analyse d’impact n’est pas obligatoire. La liste est la suivante :
| Types de traitements | Exemples |
|
Gestion RH dans les entreprises de moins de 250 salariés |
|
| Gestion des contrôles d’accès physiques et des horaires |
|
| Traitements destinés à la gestion des activités des CSE |
|
| Éthylotests pour les activités de transport |
|
La CNIL a précisé que cette liste n’est pas exhaustive.
Attention, la dispense d’analyse d’impact n’exonère pas le responsable de traitement de l’ensemble des autres obligations qui lui incombent en application du RGPD.
Blohorn Avocats reste donc à votre disposition pour vous donner de plus amples informations.
En bref
La CNIL a diffusé le 22 octobre 2019 une liste de traitement de données qui ne nécessitent pas d’analyse d’impact dans le cadre du RGPD.
