Liste des traitements pour lesquels un PIA n’est pas obligatoire

La délibération n° 2019-118 du 12 septembre 2019 portant adoption de la liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données n’est pas requise, a été publiée au Journal Officiel le 22 octobre 2019. Voici la liste des traitements pour lesquels un PIA n’est pas obligatoire :
  • Traitements, mis en œuvre uniquement à des fins de ressources humaines et dans les conditions prévues par les textes applicables, pour la seule gestion du personnel des organismes qui emploient moins de 250 personnes, à l’exception du recours au profilage.
  • Traitements de gestion de la relation fournisseurs.
  • Traitements mis en œuvre dans les conditions prévues par les textes relatifs à la gestion du fichier électoral des communes.
  • Traitements destinés à la gestion des activités des Comités d’entreprise et d’établissement.
  • Traitements mis en œuvre par une association, une fondation ou toute autre institution sans but lucratif pour la gestion de ses membres et de ses donateurs dans le cadre de ses activités habituelles dès lors que les données ne sont pas sensibles.
  • Traitements de données de santé nécessaires à la prise en charge d’un patient par un professionnel de santé exerçant à titre individuel au sein d’un cabinet médical, d’une officine de pharmacie ou d’un laboratoire de biologie médicale.
  • Traitements mis en œuvre par les avocats dans le cadre de l’exercice de leur profession à titre individuel.
  • Traitements mis en œuvre par les greffiers des tribunaux de commerce aux fins d’exercice de leur activité.
  • Traitements mis en œuvre par les notaires aux fins d’exercice de leur activité notariale et de rédaction des documents des offices notariaux.
  • Traitements mis en œuvre par les collectivités territoriales et les personnes morales de droit public et de droit privé aux fins de gérer les services en matière d’affaires scolaires, périscolaires et de la petite enfance.
  • Traitements mis en œuvre aux seules fins de gestion des contrôles d’accès physiques et des horaires pour le calcul du temps de travail, en dehors de tout dispositif biométrique.
    A l’exclusion des traitements des données qui révèlent des données sensibles ou à caractère hautement personnel.
  • Traitements relatifs aux éthylotests, strictement encadrés par un texte et mis en œuvre dans le cadre d’activités de transport aux seules fins d’empêcher les conducteurs de conduire un véhicule sous l’influence de l’alcool ou de stupéfiants.
 
Source : Légifrance

Le tableau ci-dessous précise des exemples de traitements concernés par l’exonération d’analyse d’impact.

Types d’opérations de traitement Exemples
Traitements, mis en oeuvre uniquement à des fins de ressources humaines et dans les conditions prévues par les textes applicables, pour la seule gestion du personnel des organismes qui emploient moins de 250 personnes, à l’exception du recours au profilage. Les traitements permettant :
– la gestion de la paye, l’émission des bulletins de salaire ;
– la gestion des formations ;
– la gestion du restaurant d’entreprise, la délivrance des chèques repas ;
– le remboursement des frais professionnels ;
– le contrôle du temps de travail ;
– le suivi des entretiens annuels d’évaluation ;
– la tenue des registres obligatoires ;
– l’utilisation d’outils de communication (messagerie électronique, téléphonie, vidéoconférences, outils collaboratifs en ligne) sans recours au profilage ni à la biométrie ;
– le contrôle du temps de travail (sans dispositif biométrique, sans données sensibles ni à caractère hautement personnel).
Traitements de gestion de la relation fournisseurs. Les traitements permettant :
– d’effectuer les opérations administratives liées : aux contrats ; aux commandes ; aux réceptions ; aux factures ; aux règlements ; à la comptabilité pour ce qui a trait à la gestion des comptes fournisseurs :
– d’établir les titres de paiement (traites, chèques, billets à ordre…) ;
– d’établir des statistiques financières et de chiffre d’affaires par fournisseur ;
– de fournir des sélections de fournisseurs pour les besoins de l’entreprise ou de l’organisme ;
– d’entretenir une documentation sur les fournisseurs.
Traitements mis en oeuvre dans les conditions prévues par les textes relatifs à la gestion du fichier électoral des communes. Les traitements permettant :
– de gérer les demandes d’inscription sur les listes électorales qui sont déposées ou adressées dans les communes et de procéder à leur instruction ;
– d’instruire et de procéder à la radiation de la liste électorale des électeurs ne répondant plus aux conditions pour y figurer ;
– de gérer les demandes de communication et de copie de la liste électorale.
Traitements destinés à la gestion des activités des comités d’entreprise et d’établissement. Les traitements permettant :
– de gérer les programmes socio-culturels de l’entreprise, communication interne ;
– la formation des élus ;
– l’exercice du droit d’alerte de l’article L2312-59 du Code du travail ;
– la gestion des agendas et réunions ;
– la gestion de leurs membres.
Traitements mis en oeuvre par une association, une fondation ou toute autre institution sans but lucratif pour la gestion de ses membres et de ses donateurs dans le cadre de ses activités habituelles dès lors que les données ne sont pas sensibles. Les traitements permettant :
– la gestion administrative des membres et donateurs, en particulier la gestion des cotisations ;
– d’établir pour répondre à des besoins de gestion, des états statistiques ou des listes de membres ou de contacts, notamment en vue d’adresser bulletins, convocations, journaux. (les critères retenus devant être objectifs et de fonder uniquement sur des caractéristiques qui correspondent à l’objet statutaire de l’organisme) ;
– d’établir des annuaires de membres, y compris lorsque ces annuaires sont mis à la disposition du public ou sur le réseau internet ;
– d’effectuer par tout moyen de communications des opérations relatives à des actions de prospection auprès des membres, donateurs et prospects.
Traitements de données de santé nécessaires à la prise en charge d’un patient par un professionnel de santé exerçant à titre individuel au sein d’un cabinet médical, d’une officine de pharmacie ou d’un laboratoire de biologie médicale. Les traitements permettant:
– la gestion des rendez-vous ;
– la gestion des dossiers médicaux et l’édition des ordonnances ;
– la gestion et la tenue des dossiers nécessaires au suivi du patient ;
– l’établissement et la télétransmission des feuilles de soins ;
– les communications entre professionnels identifiés participant à la prise en charge de la personne concernée ;
– la tenue de la comptabilité.
Traitements mis en oeuvre par les avocats dans le cadre de l’exercice de leur profession à titre individuel. Les traitements de gestion des clients, y compris ceux comprenant des données sensibles pouvant concerner des personnes vulnérables (mineurs par exemple).
Traitements mis en oeuvre par les greffiers des tribunaux de commerce aux fins d’exercice de leur activité.

Les traitements ayant pour objectif :

– le contrôle de la légalité des actes ;
– la tenue des différents registres et répertoires légaux.
Traitements mis en oeuvre par les notaires aux fins d’exercice de leur activité notariale et de rédaction des documents des offices notariaux. Les traitements ayant pour finalité :
– l’envoi dématérialisé des copies et extraits des actes de l’état civil, dans le cadre du traitement de gestion de l’état civil des services compétents des communes et de celui du ministère des affaires étrangères ;
– la conservation pour le compte de clients de pièces justificatives de leurs demandes de déductions du revenu global, de réductions ou de crédits d’impôts, dans le cadre de leur mission de tiers de confiance telle que prévue par le code général des impôts.
Traitements mis en oeuvre par les collectivités territoriales et les personnes morales de droit public et de droit privé aux fins de gérer les services en matière d’affaires scolaires, périscolaires et de la petite enfance. Cette exonération s’applique aux traitements relatifs à :
– la préinscription, l’inscription, le suivi et la facturation des services en matière d’affaires scolaires, périscolaires, extrascolaires et de petite enfance (la scolarisation en école maternelle et élémentaire) ;
– le recensement des enfants soumis à l’obligation scolaire ;
– la restauration scolaire et extrascolaire ; les transports scolaires ;
– les accueils et activités périscolaires et extrascolaires ; les accueils collectifs de mineurs ;
– la participation à l’organisation matérielle et financière des sorties scolaires, les séjours scolaires courts et classes de découvertes dans le premier degré ;
– l’accueil de la petite enfance au sein des établissements et services d’accueil des enfants de moins de six ans.

Traitements mis en oeuvre aux seules fins de gestion des contrôles d’accès physiques et des horaires pour le calcul du temps de travail, en dehors de tout dispositif biométrique.

A l’exclusion des traitements des données qui révèlent des données sensibles ou à caractère hautement personnel.

Les traitements ayant pour finalité :

– la mise en place d’un dispositif par badge sans biométrie pour entrer dans les locaux d’un organisme à des fins de sécurité ;
– la mise en place d’un dispositif de contrôle du temps de travail effectué par les salariés, à l’exclusion de toute autre finalité.
Traitements relatifs aux éthylotests, strictement encadrés par un texte et mis en oeuvre dans le cadre d’activités de transport aux seules fins d’empêcher les conducteurs de conduire un véhicule sous l’influence de l’alcool ou de stupéfiants. Les traitements ayant pour finalité la mise en place d’éthylotests « anti-démarrage » dans des camions de transport.

La mise en oeuvre d’un traitement figurant sur la présente liste ne dispense pas le responsable de traitement du respect de ses autres obligations prévues par le RGPD. Les traitements, même exonérés d’analyse d’impact, doivent faire l’objet d’une évaluation de leur conformité au RGPD tant sur le plan juridique qu’en matière de sécurité. Conformément aux lignes directrices du CEPD en cas de doute quant à la nécessité d’effectuer une AIPD il est recommandé d’en effectuer une.

Pour vous aider la CNIL a publié l’arbre décisionnel suivant :

Abonnez-vous à ce blog

Saisissez votre adresse e-mail pour vous abonner à ce blog et recevoir une notification de chaque nouvel article par e-mail.

Rejoignez les 8 autres abonnés

Catégories

Poster le commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *