La CNIL, par sa Délibération n° 2019-118, a établi une liste d’opérations de traitement exemptées d’analyse d’impact relative à la protection des données. Parmi celles-ci, les traitements réalisés par les avocats dans le cadre de leur profession à titre individuel sont inclus. Selon l’article 35.1 du RGPD, une analyse d’impact est requise lorsque le traitement présente un risque élevé pour les droits des personnes concernées. Toutefois, même si un traitement est dispensé d’AIPD, le responsable doit respecter toutes les autres obligations du RGPD, notamment en matière de sécurité des données.. Consulter la source documentaire.

Qu’est-ce que la Délibération n° 2019-118 de la CNIL ?

La Délibération n° 2019-118 du 12 septembre 2019, émise par la Commission Nationale de l’Informatique et des Libertés (CNIL), a pour objectif de clarifier les types d’opérations de traitement des données personnelles qui ne nécessitent pas d’analyse d’impact relative à la protection des données (AIPD).

Cette délibération est particulièrement importante pour les professionnels, notamment les avocats, car elle leur permet d’exercer leur activité sans avoir à réaliser une AIPD, tant que les traitements de données sont effectués dans le cadre de leur profession à titre individuel.

Cela signifie que les avocats peuvent gérer les données de leurs clients sans être soumis à des exigences supplémentaires, tant que ces traitements respectent les principes de protection des données établis par le RGPD.

Quels sont les critères pour mener une AIPD selon l’article 35.1 du RGPD ?

L’article 35.1 du Règlement général sur la protection des données (RGPD) stipule qu’une analyse d’impact relative à la protection des données doit être réalisée lorsque le traitement des données est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées.

Cette obligation vise à anticiper et à atténuer les risques potentiels liés à la collecte et au traitement des données personnelles.

L’article 35.5 permet aux autorités de contrôle de publier une liste des traitements exemptés de cette obligation, tandis que l’article 35.6 impose que les traitements affectant la libre circulation des données au sein de l’Union européenne soient soumis à un contrôle de cohérence.

Quelles sont les autres obligations des responsables de traitement malgré la dispense d’AIPD ?

Bien que la présence d’une opération de traitement sur la liste des dispenses d’AIPD exonère le responsable de traitement de cette obligation spécifique, cela ne le libère pas de ses autres responsabilités en vertu du RGPD et de la loi du 6 janvier 1978.

En particulier, le responsable de traitement doit toujours respecter les obligations énoncées à l’article 32 du RGPD, qui concerne la sécurité du traitement des données.

Cela inclut la mise en œuvre de mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, afin de protéger les données personnelles contre la perte, la divulgation ou l’accès non autorisé.

Quels types de traitements sont dispensés d’étude d’impact ?

La CNIL a établi une liste de douze types de traitements qui sont dispensés d’une étude d’impact. Parmi ces traitements, on trouve :

1. Les traitements de ressources humaines pour les organismes de moins de 250 employés, à l’exception du profilage.

2. La gestion de la relation fournisseurs.

3. La gestion du fichier électoral des communes.

4. La gestion des activités des Comités d’entreprise.

5. Les traitements par des associations ou fondations pour la gestion de leurs membres, à condition que les données ne soient pas sensibles.

6. Les données de santé pour la prise en charge d’un patient par un professionnel de santé exerçant à titre individuel.

7. Les traitements effectués par les avocats dans le cadre de leur profession à titre individuel.

8. Les traitements par les greffiers des tribunaux de commerce.

9. Les traitements par les notaires pour l’exercice de leur activité.

10. Les traitements par les collectivités territoriales pour la gestion des services scolaires et périscolaires.

11. La gestion des contrôles d’accès physiques et des horaires de travail, sans dispositifs biométriques.

12. Les traitements relatifs aux éthylotests dans le cadre d’activités de transport.

Cette liste permet de simplifier certaines démarches administratives tout en maintenant un cadre de protection des données.