La CNIL liste 14 opérations de traitement de données nécessitant une analyse d’impact

La Cnil en lien avec les exigences de l’article 35 du règlement européen RGPD vient de publier la liste des 14 opérations de traitement des données personnelles où l’analyse d’impact est requise dans une délibération publiée le 6 novembre.

Les traitements des données de santé, de ressources humaines, des assurances, des logements sociaux, de géolocalisation à grande échelle, sont concernés par l’obligation de réaliser une analyse d’impact.

Parmi elles, on peut citer :

  • des données concernant les profils de personnes physiques à des fins de gestion de ressources humaines.
  • des données de santé mis en œuvre par les établissements de santé ou les établissements médico-sociaux pour la prise en charge des personnes.
  • des données génétiques de personnes dites « vulnérables » (patients, employés, enfants, etc.)
  • des données ayant pour finalité de surveiller de manière constante l’activité des employés concernés.
  • des données ayant pour finalité la gestion des alertes et des signalements en matière professionnelle.
  • des données de santé nécessaires à la constitution d’un entrepôt de données ou d’un registre.
  • des données impliquant le profilage des personnes pouvant aboutir à leur exclusion du bénéfice d’un contrat ou à la suspension voire la rupture de celui-ci.
  • des données mutualisées de manquements contractuels constatés, susceptibles d’aboutir à une décision d’exclusion ou de suspension du bénéfice d’un contrat.
  • des données de profilage faisant appel à des données provenant de sources externes.
  • des données biométriques aux fins de reconnaissance des personnes parmi lesquelles figurent des personnes dites « vulnérables » (élèves, personnes âgées, patients, demandeurs d’asile, etc.)
  • des données relatives aux demandes et gestion des logements sociaux.
  • des données ayant pour finalité l’accompagnement social ou médico-social des personnes.
  • des données de localisation à large échelle.