logo WK-RH

Le portail dédié aux acteurs du social, des ressources humaines et du management.

Accueil
Actualités RH
RGPD : la Cnil dispense de certaines analyses d'impact

xx Actualité sociale xx


ACTUALITÉS

RGPD : la Cnil dispense de certaines analyses d'impact

Prévue pour les traitements de données générant un risque élevé, l'analyse d'impact est écartée par la Cnil pour les CSE, les ressources humaines des entreprises de moins de 250 salariés et le calcul du temps de travail.

05/11/2019 Social pratique, n°754

RGPD : la Cnil dispense de certaines analyses d'impact © ricochet64 - Getty images

SUR LE MÊME THÈME

→ Analyses d'impact obligatoires. Pour sécuriser les données des individus, le règlement général pour la protection des données personnelles (RGPD) prévoit que la mise en place d'un traitement de données générant un risque élevé soit précédée d'une analyse d'impact effectuée par le responsable du traitement [Règl. UE nº 2016/679, 27 avr. 2016, art. 35].

À NOTER

L'analyse d'impact comprend impérativement [Règl. UE nº 2016/679, 27 avr. 2016, art. 35.7] :

– une description systématique des opérations de traitement envisagées et de leurs finalités, y compris l'intérêt légitime poursuivi par leur responsable ;

– une évaluation de la nécessité et de la proportionnalité au regard des finalités ;

– une évaluation des risques pour les droits et libertés des personnes concernées ;

– les mesures envisagées pour faire face aux risques (garanties, mesures et mécanismes de sécurité).

→ Dispenses d'analyse d'impact. Compte tenu de la charge que font peser ces analyses sur certains organismes et du risque limité que représentent certains traitements de données, la Cnil peut formuler des dispenses [Règl. UE nº 2016/679, 27 avr. 2016, art. 35.5]. Trois types de traitements mettant en jeu employeurs, institutions représentatives du personnel et salariés sont ainsi dispensés d'analyse d'impact :

– les traitements uniquement à des fins de ressources humaines, pour la seule gestion du personnel des entreprises qui emploient moins de 250 personnes (à l'exception du recours au profilage) ;

– les traitements destinés à la gestion des activités des comités sociaux et économiques (la délibération de la Cnil mentionne les comités d'entreprise et d'établissement) ;

– les traitements aux seules fins de gestion des contrôles d'accès physiques et des horaires pour le calcul du temps de travail, en dehors de tout dispositif biométrique et à l'exclusion des traitements qui révèlent des données sensibles ou à caractère hautement personnel.

« Pour signaler un contenu indésirable ou illicite, nous vous invitons à nous contacter à l'adresse suivante : contact@wk-rh.fr. »