Information juridique intelligente
 France | +33 170726541

Délibération n° 2018-327 du 11 octobre 2018 portant adoption de la liste des types d'opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données est requise

As Enacted Cited authorities 3 Cited in Related
Vincent
JurisdictionFrance
Publication au Gazette officielJORF n°0256 du 6 novembre 2018
Record NumberJORFTEXT000037559521
Date de publication06 novembre 2018
CourtCOMMISSION NATIONALE DE L'INFORMATIQUE ET DES LIBERTES
Enactment Date11 octobre 2018


La Commission nationale de l'informatique et des libertés,
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu le règlement (UE) 2016/679 du parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, notamment son article 35 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu les lignes directrices concernant l'analyse d'impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est « susceptible d'engendrer un risque élevé » aux fins du règlement (UE) 2016/679 adoptées le 4 avril 2017 ;
Vu l'avis 9/2018 du Comité européen de la protection des données relatif au projet de liste de l'autorité de contrôle française portant sur les types d'opération de traitements pour lesquelles une analyse d'impact relative à la protection des données (article 35.4 du RGPD), adopté le 25 septembre 2018 ;


Après avoir entendu les observations de Mme Nacima BELKACEM, commissaire du Gouvernement,
Formule les observations suivantes :
L'article 35.1 du Règlement général relatif à la protection des données (RGPD) prévoit qu'une analyse d'impact relative à la protection des données (AIPD) doit être menée quand un traitement est « susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées ».
L'article 35.3 du RGPD énonce trois types de traitements susceptibles de présenter un risque élevé. Le Comité européen de la protection des données (CEPD) a lui-même identifié neuf critères permettant de caractériser un traitement susceptible d'engendrer un risque élevé.
L'article 35.4 du RGPD impose aux autorités de contrôle d'établir et de publier une liste des types d'opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données est requise.
L'article 35.6 du RGPD prévoit que, lorsque cette liste concerne des « activités de traitements liées à l'offre de biens ou de services à des personnes concernées ou au suivi de leur comportement dans plusieurs Etats membres, ou peuvent affecter sensiblement la...

Pour continuer la lecture

SOLLICITEZ VOTRE ESSAI

VLEX uses login cookies to provide you with a better browsing experience. If you click on 'Accept' or continue browsing this site we consider that you accept our cookie policy. ACCEPT