Pour rappel, le règlement européen (n°2016/679) du 27 avril 2016, dit le « RGPD », a modifié les règles applicables à la protection des données personnelles depuis le 25 mai 2018.

Désormais, l’employeur qui met en œuvre des traitements automatisés doit au préalable réaliser une analyse d’impact afin de déterminer si les données traitées sont sensibles et si le traitement de ces dernières peut s’avérer attentatoire aux libertés fondamentales du salarié.

Il y a un an, la CNIL avait diffusé une liste des données qui devaient faire l’objet de cette analyse d’impact.

Par une délibération publiée au JO du 22 octobre 2019, la CNIL complète cette information par une liste des traitements où l’analyse d’impact n’est pas obligatoire. La liste est la suivante :

 

Types de traitements Exemples

Gestion RH dans les entreprises de moins de 250 salariés
  • La gestion de la paie
  • Le contrôle du temps de travail
  • Le suivi des entretiens annuels d’évaluation
  • L’utilisation d’outils de communication (messagerie électronique, téléphonie, vidéoconférences, outils collaboratifs en ligne)
  • etc …
Gestion des contrôles d’accès physiques et des horaires
  • Accès par badge (sans biométrie)
  • Contrôle du temps de travail des salariés
Traitements destinés à la gestion des activités des CSE
  • Gérer les programmes socio-culturels de l’entreprise, communication interne
  • La gestion des agendas et réunions
  • Formation des élus
Éthylotests pour les activités de transport
  • Dispositif anti-démarrage.

La CNIL a précisé que cette liste n’est pas exhaustive.

Attention, la dispense d’analyse d’impact n’exonère pas le responsable de traitement de l’ensemble des autres obligations qui lui incombent en application du RGPD.

Blohorn Avocats reste donc à votre disposition pour vous donner de plus amples informations.