On l'espérait depuis le 25 mai… 2018, soit depuis la date d'entrée en application du RGPD dans tous les pays de l'Union européenne ; cette liste, et surtout celle précisant les traitements devant faire l'objet d'une analyse d'impact, "pouvait" en effet être publiée au plus tard à cette date.
On a en fait attendu encore quelques mois pour voir publier, le 6 novembre 2018, la liste la plus importante pour les acteurs économiques prévue à l'article 35, 4 du RGPD, celle énumérant les cas où l'analyse d'impact est requise (notre actualité du 14 décembre 2018).
Voici que la Cnil a publié, le 22 octobre, une "liste des traitements pour lesquels une analyse n’est pas requise". Rappelons que l'article 35, 5 du RGPD n'érigeait pas en obligation la publication de cette liste, contrairement à la précédente.
On dispose donc à ce jour des deux listes et l'une comme l'autre devrait constituer un double guide précieux pour les organismes publics et entreprises privées tenus d'appliquer le RGPD.
Ainsi, "la CNIL a adopté définitivement sa liste. Celle-ci comporte douze types d’opérations de traitement pour lesquelles elle n’estime pas obligatoire de réaliser une analyse d’impact relative à la protection des données."
En savoir plus
Voir l'annonce de la liste sur le site de la Cnil.
Cette page inclut une présentation de la liste, ainsi que l'infographie d'un arbre de décision intitulé "Dois-je faire une AIPD [analyse d'impact] ?", également disponible en pdf.
La page renvoie également à la liste des traitemens en question en pdf (215 ko, 4 pages) et à d'autres sources utiles au sujet.
Voir toutes nos actualités sur les Données à caractère personnel et sur le RGPD.