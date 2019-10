Le 6 novembre 2018, la CNIL diffusait une liste importante : les traitements où une analyse d’impact est toujours obligatoire.

Cette analyse, selon l’article 35 du RGPD, est exigée dès lors qu’un traitement « est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques ».

Cela concerne en particulier les traitements à grande échelle portant sur des données sensibles ou encore la surveillance systématique à grande échelle d’une zone accessible au public.

Ce matin, la même autorité de contrôle a diffusé cette fois la liste des opérations pour lesquelles une analyse d’impact n’est jamais requise. Une option ouverte par l’article 35.5 du texte européen.

Dans cet inventaire, on trouve les traitements relatifs à « la gestion de la relation fournisseurs », ceux concernant le fichier électoral des communes.

S’y ajoutent les traitements mis en œuvre par les médecins ou les avocats, dans le cadre d’une profession exercée à titre individuel, ceux relatifs aux éthylotests lorsqu’il s’agit d’empêcher les conducteurs de conduire sous l'influence de l'alcool ou de stupéfiants.

Remarquons encore les traitements « mis en œuvre par les collectivités territoriales et les personnes morales de droit public et de droit privé aux fins de gérer les services en matière d'affaires scolaires, périscolaires et de la petite enfance ».

Évidemment, la CNIL rappelle que ces exemptions ne permettent pas au responsable d’échapper au règlement. Il continue par exemple à être soumis à l’obligation de sécurité imposée par l’article 32 par exemple.