CNIL – Liste des traitements ne requérant pas d’analyse d’impact

Le Règlement Général de la Protection des Données (« RGPD ») permet aux autorités de contrôle d’établir et de publier une liste de traitements de données pour lesquels une analyse d’impact n’est pas requise.

La CNIL vient d’adopter cette liste de traitements par délibération n°2019-118 du 12 septembre 2019, parue au Journal officiel de ce jour.

Sont dispensés d’analyse d’impact mais restent soumis à l’ensemble des autres obligations en application du RGPD et de la Loi Informatique et Liberté, notamment

• les traitements, mis en œuvre uniquement à des fins de ressources humaines et dans les conditions prévues par les textes applicables, pour la seule gestion du personnel des organismes qui emploient moins de 250 personnes, à l’exception du profilage,
• les traitements de gestion de la relation fournisseurs,
• les traitements destinés à la gestion des activités des Comités d’entreprises et d’établissement,
• les traitements mis en oeuvre par une association, une fondation ou toute autre institution sans but lucratif pour la gestion de ses membres et de ses donateurs dans le cadre de ses activités habituelles dès lors que les données ne sont pas sensibles,
• les traitements de données de santé nécessaires à la prise en charge d’un patient par un professionnel de santé exerçant à titre individuel au sein d’un cabinet médical, d’une officine de pharmacie ou d’un laboratoire de biologie médicale.

Télécharger le PDF