Conformément à l’article 35.4 du RGPD, la CNPD a élaboré une liste de traitements pour lesquels une analyse d’impact sur la protection des données (AIPD – DPIA en anglais) est obligatoire.
Le projet de liste avait été soumis pour avis au Comité Européen de la Protection des Données (CEPD) dans le cadre de la mise en œuvre d’une cohérence et d’une homogénéité de l’application du RGPD au niveau européen. La liste publiée prend en compte les remarques de l’avis du CEPD.
ll convient de souligner que la liste actuelle n'est pas une liste exhaustive de tous les types d’opération de traitement nécessitant la réalisation d'une AIPD. Ainsi l'absence d’un type d’opération de traitement sur cette liste ne signifie pas nécessairement qu'une AIPD n'est en pas requise. La liste se limite aux activités de traitement qui nécessiteront toujours la réalisation d'une AIPD. Pour les activités de traitement ne figurant pas sur cette liste, les responsables du traitement des données devraient s’appuyer sur l’article 35 (1) du RGPD et sur les lignes directrices WP248 du groupe de travail de l’article 29 pour évaluer la nécessité d’une AIPD.
Rappel (Art. 35 et Art. 36 du RGPD):
- l’AIPD doit être exécutée avant la mise en œuvre du traitement ;
- le responsable de traitement doit effectuer une consultation préalable au traitement auprès de la CNPD pour avis sur l’AIPD si le traitement présente encore un risque résiduel élevé pour les droits et libertés des personnes après la mise en place de mesures pour atténuer le risque.