RGPD – Liste des traitements pour lesquels un PIA est obligatoire

La délibération n° 2018-327 du 11 octobre 2018 concernant les opérations de traitement, pour lesquelles une analyse d’impact relative à la protection des données est requise, a été publiée au Journal Officiel le 6 novembre. Voici la liste des traitements pour lesquels un PIA est obligatoire :
  • Traitements de données de santé mis en œuvre par les établissements de santé ou les établissements médico-sociaux pour la prise en charge des personnes
  • Traitements portant sur des données génétiques de personnes dites « vulnérables » (patients, employés, enfants, etc.)
  • Traitements établissant des profils de personnes physiques à des fins de gestion des ressources humaines
  • Traitements ayant pour finalité de surveiller de manière constante l’activité des employés concernés
  • Traitements ayant pour finalité la gestion des alertes et des signalements en matière sociale et sanitaire
  • Traitements ayant pour finalité la gestion des alertes et des signalements en matière professionnelle
  • Traitements des données de santé nécessaires à la constitution d’un entrepôt de données ou d’un registre
  • Traitements impliquant le profilage des personnes pouvant aboutir à leur exclusion du bénéfice d’un contrat ou à la suspension voire à la rupture de celui-ci
  • Traitements mutualisés de manquements contractuels constatés, susceptibles d’aboutir à une décision d’exclusion ou de suspension du bénéfice d’un contrat
  • Traitements de profilage faisant appel à des données provenant de sources externes
  • Traitements de données biométriques aux fins de reconnaissance des personnes parmi lesquelles figurent des personnes dites « vulnérables » (élèves, personnes âgées, patients, demandeurs d’asile, etc.)
  • Instruction des demandes et gestion des logements sociaux
  • Traitements ayant pour finalité l’accompagnement social ou médico-social des personnes
  • Traitements de données de localisation à large échelle

La CNIL confirme donc avec cette publication que le salarié est considéré comme une personne vulnérable.

Le tableau ci-dessous précise les critères décisionnels ainsi que des exemples de traitements concernés par l’obligation de faire un PIA.

Types d’opérations de traitement Critères issus des lignes directrices du CEPD qu’ils remplissent Exemples
 

 

Traitements de données de santé mis en œuvre par les établissements de santé ou les établissements médicosociaux pour la prise en charge des personnes.

–   collecte de données sensibles

–   personnes dites « vulnérables »

–   traitements « de santé » mis en œuvre par les établissements de santé (hôpital, CHU, cliniques, etc.) :

•       dossier « patients » ;

•       algorithmes de prise de décision médicale ;

•       dispositifs de vigilances sanitaires et de gestion du risque ;

•       dispositifs de télémédecine ;

•       gestion du laboratoire de biologie médicale et de la pharmacie à usage intérieur, etc.

–   traitement portant sur les dossiers des résidents pris en charge par un centre communal d’action sociale (CCAS) ou par un établissement d’hébergement pour personnes âgées dépendantes (EPHAD).

Traitements portant sur des données génétiques de personnes dites « vulnérables » (patients, employés, enfants, etc.). –   collecte de données sensibles

–   personnes dites « vulnérables »

–   mise en œuvre d’une recherche médicale portant sur des patients et incluant le traitement de leurs données génétiques ;

–   traitement utilisé pour la gestion d’une consultation de génétique dans un établissement de santé.

Traitements établissant des profils de personnes physiques à des fins de gestion des ressources humaines –   évaluation ou notation

–   personnes dites « vulnérables »

–   traitement de détection et de gestion de « hauts potentiels » ;

–   traitement visant à faciliter le recrutement, notamment grâce à un algorithme de sélection ;

–   traitement visant à proposer des actions de formations personnalisées grâce à un algorithme,

–   traitement visant  détecter et à prévenir les départs de salariés sur la base de corrélations établies entre divers facteurs.

Traitements ayant pour finalité de surveiller de manière constante l’activité des employés concernés –   personnes dites « vulnérables »

–   surveillance systématique

–   dispositif de cyber surveillance tels que ceux procédant à une analyse des flux de courriels sortants afin de détecter d’éventuelles fuites d’information (dispositifs dits de Data Loss Prevention) ;

–   vidéosurveillance portant sur les employés manipulant de l’argent ;

–   vidéosurveillance d’un entrepôt stockant des biens de valeur au sein duquel travaillent des manutentionnaires ;

–   chronotachygraphe des véhicules de transport routier.

Traitements ayant pour finalité la gestion des alertes et des signalements en matière sociale et sanitaire

 

–   personnes dites « vulnérables »

–   évaluation ou notation

–   collecte de données sensibles

– dispositif de signalement de mineurs en danger ;

-traitement utilisé par une agence sanitaire pour la gestion d’une crise sanitaire ou d’une alerte sanitaire ;

-dispositif de signalement de situations de maltraitance sur des personnes vulnérables (personnes âgées, en situation de handicap, etc.).

Traitements ayant pour finalité la gestion des alertes et des signalements en matière professionnelle –   personnes dites « vulnérables »

–   évaluation ou notation

–   collecte de données sensibles

– dispositif de recueil d’alertes professionnelles pour les organismes privés ou publics concernés ;

–   dispositif de recueil de signalements concernant des faits de trafic d’influence ou de corruption commis au sein de l’organisme ;

–   dispositif d’alerte mis en œuvre dans le cadre du devoir de vigilance.

Traitements des données de santé nécessaires à la constitution d’un entrepôt de données ou d’un registre –   collecte de données sensibles

–   personnes dites « vulnérables »

– entrepôt de données de santé mis en œuvre par un établissement de santé ou une personne privée, pour servir des finalités de recherche.
Traitements impliquant le profilage des personnes pouvant aboutir à leur exclusion du bénéfice d’un contrat ou à la suspension voire à la rupture de celui-ci –   évaluation ou notation

–   croisement ou combinaison d’ensembles de données

–   traitement établissant un score pour l’octroi de crédit ;

–   traitement reposant sur une analyse comportementale visant à détecter des comportements « interdits » sur un réseau social ;

–   traitement de lutte contre la fraude aux moyens de paiement.

Traitements mutualisés de manquements contractuels constatés, susceptibles d’aboutir à une décision d’exclusion ou de suspension du bénéfice d’un contrat –   croisement ou combinaison d’ensembles de données

–   prise de décision automatisée avec effet juridique ou effet similaire significatif

–   traitement recensant les impayés et souscriptions irrégulières partagé par un secteur d’activité ;

–   traitement des résiliations automobiles qui permet aux sociétés d’assurances de vérifier les antécédents d’un futur assuré lors de la demande de souscription d’un contrat d’assurance automobile.

Traitements de profilage faisant appel à des données provenant de sources externes –   évaluation ou notation

–   croisement ou combinaison d’ensembles de données

–   usage innovant ou application de nouvelles solutions technologiques

–   collecte de données sensibles

–   combinaison de données opérée par des courtiers en données (data brokers) ;

–   traitement visant à personnaliser les publicités en ligne.

Traitements de données biométriques aux fins de reconnaissance des personnes parmi lesquelles figurent des personnes dites « vulnérables » (élèves,   personnes âgées, patients,  demandeurs d’asile, etc.) –   collecte de données sensibles

–   personnes dites « vulnérables »

– traitement basé sur la reconnaissance de l’empreinte digitale ayant pour finalité le contrôle de l’identité des patients ;

– contrôle d’accès à la cantine scolaire par reconnaissance du contour de la main ;

Instruction des demandes et gestion des logements sociaux – collecte de données sensibles  – évaluation ou notation – traitement visant à permettre l’instruction des demandes de logement social en location ou en accession à la propriété.
Traitements ayant pour finalité l’accompagnement social ou médico-social des personnes

 

–   collecte de données sensibles

–   évaluation ou notation

–   personnes dites « vulnérables »

 

–   traitement mis en œuvre par un établissement ou une association dans le cadre de la prise en charge de personnes en insertion ou réinsertion sociale et professionnelle ;

–   traitement mis en œuvre par les maisons départementales des personnes handicapées dans le cadre de l’accueil, l’hébergement, l’accompagnement et le suivi de ces personnes ;

–   traitement mis en œuvre par un centre communal d’action sociale dans le cadre du suivi de personnes atteintes de pathologies chroniques invalidantes en situation de fragilité sociale.

Traitements de données de localisation à large échelle –   collecte de données sensibles

–   données traitées à grande échelle

–   surveillance systématique

–   Personnes dites « vulnérables »

–   usage innovant ou application de nouvelles solutions technologiques

 

–   Application mobile permettant de collecter les données de géolocalisation des utilisateurs ;

–   fourniture d’un service de géolocalisation de mobilité urbaine utilisé par un grand nombre de personnes ;

–   base de données « clients » des opérateurs de communication électronique ;

–   mise en œuvre d’un système de billettique par des opérateurs de transport.

Pour vous aider la CNIL a publié l’arbre décisionnel suivant :

Abonnez-vous à ce blog

Saisissez votre adresse e-mail pour vous abonner à ce blog et recevoir une notification de chaque nouvel article par e-mail.

Rejoignez les 8 autres abonnés

Catégories