On pouvait l’espérer depuis le 25 mai 2018 soit depuis la date d’entrée en application du RGPD dans tous les pays de l’Union européenne. Cette liste, et surtout celle précisant les traitements devant faire l’objet d’une analyse d’impact, « pouvait » en effet être publiée au plus tard à cette date.
On a en fait attendu encore quelques mois pour voir publier, le 6 novembre 2018, la liste la plus importante pour les acteurs économiques prévue à l’article 35, 4 du RGPD, celle énumérant les cas où l’analyse d’impact est requise.
Voici que la Cnil a publié, le 22 octobre, une « liste des traitements pour lesquels une analyse n’est pas requise« . Rappelons que l’article 35, 5 du RGPD n’érigeait pas en obligation la publication de cette liste, contrairement à la précédente.
On dispose donc à ce jour des deux listes et l’une comme l’autre devrait constituer un double guide précieux pour les organismes publics et entreprises privées tenus d’appliquer le RGPD.
Ainsi, « la CNIL a adopté définitivement sa liste. Celle-ci comporte douze types d’opérations de traitement pour lesquelles elle n’estime pas obligatoire de réaliser une analyse d’impact relative à la protection des données. »
Photo : Cnil
Plus d’infos : https://www.cnil.fr/fr/liste-traitements-aipd-non-requise
