La Cnil a publié le 6 novembre dernier la liste qu'on attendait depuis le 25 mai dernier et indiquant, conformément à l'obligation faite par l'article 35.4 du RGPD, les "types d'opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données est requise".
La Commission précise cependant :
"Pour autant, cette liste n’est pas exhaustive, dans la mesure où des traitements qui n’y figurent pas peuvent néanmoins devoir faire l’objet d’une AIPD [Analyse d'impact]."
La commission annonce le même jour :
"En complément des lignes directrices adoptées au niveau européen en octobre 2017, la CNIL publie ses propres lignes directrices pour préciser :
- Le périmètre de l’obligation d’effectuer une AIPD ;
- Les conditions de réalisation de l’AIPD
- Les cas dans lesquels une AIPD doit lui être transmise."
On apprend également dans la même annonce que :
"La Cnil adoptera prochainement la liste des traitements pour lesquels aucune AIPD n’est requise conformément à ce que prévoit l’article 35.5° du RGPD".
Les blancs continuent donc de se remplir autour du RGPD dont l'application pose encore bien des questions juridiques et pratiques.
En savoir plus
Lire le communiqué sur le site de la Cnil.
Accès direct à la liste en pdf (tableau de 4 page – 144 ko).
Accès aux lignes directrices de la Cnil : Délibération n° 2018-326 du 11 octobre 2018 portant adoption de lignes directrices sur les analyses d'impact relatives à la protection des données (AIPD) prévues par le règlement général sur la protection des données (RGPD).