Avis sur 22 projets de listes nationales

Le 4 Octobre 2018 le Comité Européen de la Protection des Données (EDPB [1] ) a publié une série d'avis sur les listes de traitements qui doivent obligatoirement faire l’objet d’une analyse d’impact relative à la protection des données « AIPD » ou « DPIA » en anglais (article 35, paragraphe 4, du RGPD), élaborées par les autorités de contrôle de 22 États membres, dont la France (voir les avis en anglais sous le lien https://edpb.europa.eu/our-work-tools/consistency-findings/opinions_fr ).

L’EDPB a évalué la compatibilité des listes proposées avec les exigences du RGPD relatives aux DPIA, telles qu’interprétées dans les lignes directrices du G29 sur les DPIA (WP248 rév.01) et a formulé des recommandations de modification.

Contexte règlementaire

En application du RGDP, l’EDPB doit émettre un avis lorsqu'une autorité de contrôle entend adopter une liste de traitements qui doivent obligatoirement faire l’objet d’une DPIA.

Le projet de liste d’une autorité de contrôle est par ailleurs soumis au mécanisme de cohérence lorsqu'il implique certains traitements transfrontaliers ou peut affecter de manière substantielle la libre circulation des données personnelles dans l'UE. Si une autorité de contrôle ne respecte pas l'avis de l'EDPB, celui-ci peut adopter une décision contraignante (aucune décision contraignante n'a encore été publiée).

Les avis de l’EDPB ne visent pas à établir une liste unique de l'UE, mais à créer une approche harmonisée et cohérente et à éviter les incohérences significatives susceptibles d'affecter la protection équivalente des personnes concernées.

La liste de la CNIL

La liste de la CNIL :

  • porte sur les traitements de données biométriques et les traitements de données génétiques. Dans les deux cas l’EDPB souhaite que la CNIL précise que le DPIA n’est pas systématiquement requis pour le seul traitement de ces données, mais en revanche est nécessaire lorsque d’autres critères sont utilisés en conjonction avec ces données ;
  • porte aussi sur la surveillance des employés. L’EDPB pense qu’il est important de faire le lien avec l’avis WP 249 du G 29 sur le traitement des données sur le lieu de travail ;
  • mais ne mentionne pas les données de localisation, contrairement aux listes de la plupart des autres pays. L’EDPB encourage la CNIL à les ajouter à la liste lorsque les données de localisation sont traitées en conjonction avec d’autres critères.

L’EDPB souhaite que la CNIL précise que la liste n’est pas exhaustive.

L’EDPB rappelle que le travail d’analyse fait par le G29 sur les DPIA est fondamental et est d’avis que les autorités de contrôles, et notamment la CNIL, doivent préciser que leur liste est basée sur ces Lignes directrices et qu’elle les complète en précisant certains critères.