RGPD : Comment identifier les traitements soumis à une analyse d’impact sur la protection des données ?

Les collectivités territoriales traitent aujourd’hui une quantité importante de données personnelles (ex : nom, prénom, NIR, adresse, …). Ces opérations constituent des traitements de données (ex : tenue du registre d’état civil, tenue du cadastre, gestion des ordures ménagères, gestion des inscriptions en crèche, …) qui doivent impérativement s’inscrire dans le respect des dispositions du RGPD (Règlement général sur la protection des données adoptées par l’Union européenne le 27 avril 2016).

Certains traitements sont susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes (ex : contrôle d’accès biométrique aux cantines scolaires, traitement de géolocalisation de mobilité urbaine, billettique mise en place pour un transport collectif, …).

Ils doivent obligatoirement faire l’objet d’une analyse d’impact relative à la protection des données (AIPD) notamment lorsque l’un des trois critères suivants est rempli :

  • Traitement de données effectué à grande échelle ;
  • Evaluation systématique et approfondie d’aspects personnels concernant des personnes physiques ;
  • Surveillance systématique à grande échelle d’une zone accessible au public.

Le DPO préconise la réalisation d'une AIPD et en vérifie l'exécution. Le responsable de traitement conduit l’analyse d’impact qui est un outil de la conformité permettant à la collectivité de respecter les principes du RGPD et de le démontrer.

La CNIL a publié :

Par exemple, la gestion du fichier électoral des communes comprenant : les demandes d’inscription sur la liste électorale, la radiation d’électeurs ne répondant plus aux conditions pour y figurer ainsi que la gestion des demandes de communication ou de copie de cette liste.

Dois-je faire une analyse d’impact ? : Un schéma CNIL pour vous éclairer

 

 

Le pôle RGPD de l’ATD31 est à votre disposition pour répondre à vos interrogations sur la question. Contact : accueil @ atd31.fr