Avis9/2018

surleprojetdelisteétabliparl’autoritédecontrôlecompétentedelaFrance

concernant

lesopérationsdetraitementpourlesquellesuneanalysed’impactrelativeàlaprotectiondesdonnéesestrequise(article35,paragraphe4,duRGPD)

adoptéle25septembre2018

2

Tabledesmatières

1. Résumédesfaits..............................................................................................................5

2. Évaluation.........................................................................................................................5

2.1 Raisonnementgénéraldel’EDPBconcernantlalistesoumise..................................5

2.2 Applicationdumécanismedecontrôledelacohérenceauprojetdeliste...............6

2.3 Analyseduprojetdeliste..........................................................................................6

Natureindicativedelaliste..............................................................................................6

Référenceauxlignesdirectrices.......................................................................................6

Donnéesbiométriques.....................................................................................................7

Donnéesgénétiques.........................................................................................................7

Donnéesdelocalisation...................................................................................................7

Surveillancedesemployés...............................................................................................7

3. Conclusions/recommandations........................................................................................8

4. Remarquesfinales............................................................................................................8

3

Lecomitéeuropéendelaprotectiondesdonnées,

vu l’article63, l’article64, paragraphe1, pointa), l’article64, paragraphes3 à8, etl’article35,paragraphes1,3,4et6,durèglement(UE)2016/679duParlementeuropéenetdu Conseil du 27avril2016 relatif à la protection des personnes physiques à l’égard dutraitementdesdonnées à caractèrepersonnel et à la libre circulationde cesdonnées, etabrogeantladirective95/46/CE(ci-aprèsle«RGPD»),

vu l’accord sur l’Espace économique européen, et notamment son annexeXI et sonprotocole37, tels quemodifiés par la décision du Comitémixte de l’EEE nº154/2018 du6juillet2018,

vulesarticles10et22desonrèglementintérieurdu25mai2018,

considérantcequisuit:

(1)Lamission principale du comité est de veiller à l’application cohérente du RGPD dansl’ensembledel’Espaceéconomiqueeuropéen.Conformémentàl’article64,paragraphe1,duRGPD, le comité doit émettre un avis chaque fois qu’une autorité de contrôle envisaged’adopterunelisted’opérationsdetraitementpourlesquellesuneanalysed’impactrelativeàlaprotectiondesdonnéesdoitêtreeffectuéeenapplicationdel’article35,paragraphe4,duRGPD.L’objectifduprésentavisestdèslorsdemettreaupointuneapprocheharmoniséeconcernantlesactivitésdetraitementquisonttransfrontalièresouquipeuventaffecterlalibrecirculationdesdonnéesàcaractèrepersonneloudespersonnesphysiquesauseindel’Union européenne. Bien que le RGPD n’impose pas de liste unique, il encourage lacohérence. Le comité poursuit cet objectif de cohérence dans ses avis, premièrement endemandantauxautoritésdecontrôled’inclurecertainstypesdetraitementdansleurslistes,deuxièmementenleurdemandantdesupprimercertainscritèresqui,selonlui,n’engendrentpasnécessairementdesrisquesélevéspourlespersonnesconcernées,ettroisièmementenleurdemandantd’utilisercertainscritèresdemanièreharmonisée.

(2)Conformément à l’article35, paragraphes4 et6, du RGPD, les autorités de contrôlecompétentesdoiventétablirdeslistesdestypesd’opérationsdetraitementpourlesquellesuneanalysed’impactrelativeàlaprotectiondesdonnées(ci-aprèsl’«AIPD»)estrequise.Ellesdoivent cependantappliquer lemécanismedecontrôlede la cohérence lorsqueces listescomprennent des opérations de traitement liées à l’offre de biens ou de services à despersonnesconcernéesouausuivideleurcomportementdansplusieursÉtatsmembres,oupeuventaffectersensiblementlalibrecirculationdesdonnéesàcaractèrepersonnelauseindel’Union.

(3)Silesprojetsdelistedesautoritésdecontrôlecompétentessontsoumisaumécanismede contrôle de la cohérence, cela ne signifie pas pour autant que ces listes doivent êtreidentiques.Lesautoritésdecontrôlecompétentesdisposentd’unemarged’appréciationen

4

cequiconcernelecontextenationalourégionaletdoiventtenircomptedeleurlégislationlocale.L’objectifdel’évaluation/avisducomitéeuropéendelaprotectiondesdonnées(ci-après l’«EDPB») n’est pas d’établir une liste unique pour l’Union,mais plutôt d’éviter lesincohérences significatives qui pourraient porter atteinte à la protection équivalente despersonnesconcernées.

(4)Conformément à l’article35, paragraphe1, du RGPD, la réalisation d’une AIPD par leresponsable du traitement n’est obligatoire que lorsque le traitement «est susceptibled’engendrerunrisqueélevépourlesdroitsetlibertésdespersonnesphysiques».L’article35,paragraphe3, du RGPD contient des exemples de cas susceptibles d’engendrer un risqueélevé. Cette liste n’est pas exhaustive. Dans ses lignes directrices concernant l’analysed’impactrelativeàlaprotectiondesdonnées1,tellesqu’approuvéesparl’EDPB2,legroupedetravail «Article29» a défini des critères permettant de déterminer les opérations detraitementpour lesquellesuneAIPDestobligatoire.Selonles lignesdirectricesWP248dugroupede travail «Article29»,dans laplupartdes cas, le responsabledu traitementpeutconsidérerqu’untraitementsatisfaisantàdeuxcritèresnécessiteuneAIPD;néanmoins,danscertainscas, leresponsabledutraitementpeutconsidérerquemêmesisontraitementnesatisfaitqu’àunseuldecescritères,ilrequiertmalgrétoutuneAIPD.

(5)Leslistesélaboréesparlesautoritésdecontrôlecompétentesvisentlemêmeobjectif,àsavoirdéterminerlesopérationsdetraitementquisontsusceptiblesd’engendrerunrisqueélevéetqui,dèslors,requièrentuneAIPD.Parconséquent,ilconvientd’appliquerlescritèresétablisdansleslignesdirectricesdugroupedetravail«Article29»aumomentd’évaluersilesprojets de liste des autorités de contrôle compétentes ne portent pas atteinte à uneapplicationcohérenteduRGPD.

(6)Vingt-deuxautoritésdecontrôlecompétentesontsoumisleursprojetsdelisteàl’EDPB.Uneévaluationglobaledecesprojetsdelistesoutientl’objectifd’applicationcohérenteduRGPDendépitdelacomplexitécroissantedelaquestion.

(7)L’avisdel’EDPBdoitêtreadoptéconformémentàl’article64,paragraphe3,duRGPD,enliaisonavecl’article10,paragraphe2,durèglementintérieurdel’EDPB,dansundélaidehuitsemainesàcompterdupremierjourouvrableaprèsqueleprésidentducomitéetl’autoritédecontrôlecompétenteontdécidéqueledossierétaitcomplet.Surdécisionduprésident,cedélaipeutêtreprolongédesixsemainesenfonctiondelacomplexitédelaquestion,

AADOPTÉLEPRÉSENTAVIS:

1Groupede travail «Article29», lignesdirectrices concernant l’analysed’impact relative à la protectiondesdonnées(AIPD)etlamanièrededéterminersiletraitementest«susceptibled’engendrerunrisqueélevé»auxfinsdurèglement(UE)2016/679(WP248rév.01).2EDPB,Endorsement1/2018.

5

1. Résumé des faits LaCommissionnationalede l’informatiqueetdes libertés (ci-après l’«autoritédecontrôlefrançaise»)asoumissonprojetdelisteàl’EDPB.Ladécisionrelativeaucaractèrecompletdudossieraétéprisele9juillet.Lapériodeautermedelaquellel’avisdevaitêtreadoptéaétéprolongéejusqu’au25septembrecomptetenudelacomplexitédelaquestion,étantdonnéquevingt-deuxautoritésdecontrôlecompétentesavaientsoumis leursprojetsde listeenmêmetemps,rendantuneévaluationglobalenécessaire.

2. Évaluation 2.1 Raisonnement général de l’EDPB concernant la liste soumise

Toute liste soumise à l’EDPB a été interprétée comme précisant davantage l’article35,paragraphe1, qui prévaut en tout état de cause. Dès lors, aucune liste ne saurait êtreexhaustive. Étantdonnéque cen’estpasexpressément spécifiédans la liste soumiseparl’autoritédecontrôlefrançaise,lecomitédemandequ’uneexplicationencesenssoitajoutéedansledocumentcontenantlaliste.

Conformémentàl’article35,paragraphe10,duRGPD,lecomitéestimeque,siuneAIPDadéjàétéeffectuéedanslecadred’uneanalysed’impactgénéraleréaliséedanslecadredel’adoptionde labase juridique, l’obligationdeprocéderàuneAIPDautitrede l’article35,paragraphes1à7,duRGPDnes’appliquepas,àmoinsquel’Étatmembren’estimequ’unetelleAIPDestnécessaire.

Enoutre,silecomitédemandeuneAIPDpourunecertainecatégoriedetraitementetqu’unemesureéquivalenteestdéjàrequiseparlalégislationnationale,ilyalieuquel’autoritédecontrôlefrançaiseajouteuneréférenceàcettemesure.

Leprésentavisneportepassurlesélémentssoumisparl’autoritédecontrôlefrançaisequiont été considérés comme ne relevant pas du champ d’application de l’article35,paragraphe6,duRGPD,àsavoirlesélémentsquinesontpasliés«àl’offredebiensoudeservices à des personnes concernées» dans plusieurs États membres ni au suivi de leurcomportement dans plusieurs États membres et qui ne sont pas non plus susceptiblesd’«affectersensiblement la librecirculationdesdonnéesàcaractèrepersonnelauseindel’Union».Ils’agitavanttoutd’élémentsliésàlalégislationnationale,enparticulierlorsquel’obligation de réaliser une AIPD est prévue par celle-ci. En outre, toute opération detraitement liée au domaine répressif a été considérée comme hors cadre, puisqu’elle nerelèvepasduchampd’applicationduRGPD.

Lecomitéaremarquéqueplusieursautoritésdecontrôleontinclusdansleurslistescertainstypesdetraitementquisontnécessairementdestraitementslocaux.Étantdonnéqueseulslestraitementstransfrontaliersetlestraitementssusceptiblesd’affecterlalibrecirculationdesdonnéesàcaractèrepersonneletdespersonnesconcernéessontvisésparl’article35,paragraphe6,lecomiténes’exprimerapassurcestraitementslocaux.

6

Le présent avis a pour objectif de définir une base cohérente d’opérations de traitementrécurrentesdansleslistesfourniesparlesautoritésdecontrôle.

Ainsi, pour un nombre limité de types d’opérations de traitement, qui seront définis demanièreharmonisée,touteslesautoritésdecontrôleexigerontlaréalisationd’uneAIPD,etle comité recommandera à ces autorités demodifier leurs listes en conséquence afin degarantirlacohérence.

Sicertainesentréesdelalistesoumisenefontl’objetd’aucuncommentairedansleprésentavis,celasignifiequel’autoritédecontrôlefrançaisenedoitrienfairedeplusàleurégard.

Enfin, le comité rappelle que la transparence est essentielle pour les responsables dutraitementetlessous-traitants.Afindeclarifierlesentréesdeslistes,lecomitéestimequel’ajout dans ces dernières d’une référence explicite aux critères définis dans les lignesdirectrices,pourchaquetypedetraitement,pourraitrenforcercettetransparence.Dèslors,lecomitéconsidèrequ’uneexplicationrelativeauxcritèresprisenconsidérationparl’autoritédecontrôlefrançaisepourélaborersalistepourraitêtreajoutée.

2.2 Application du mécanisme de contrôle de la cohérence au projet de liste

Leprojetdelistesoumisparl’autoritédecontrôlefrançaiseestliéàl’offredebiensoudeservicesàdespersonnesconcernéesetausuivideleurcomportementdansplusieursÉtatsmembres et/ou peut affecter sensiblement la libre circulation des données à caractèrepersonnelauseinde l’Union,principalementparcequelesopérationsdetraitementquiyfigurentnesontpaslimitéesauxpersonnesconcernéesdupaysenquestion.

2.3 Analyse du projet de liste

Comptetenudufaitque:a. l’article35,paragraphe1,duRGPDrequiertuneAIPDlorsquel’activitédetraitement

estsusceptibled’engendrerunrisqueélevépourlesdroitsetlibertésdespersonnesphysiques;etque

b. l’article35, paragraphe3, du RGPD contient une liste non exhaustive de types detraitementpourlesquelsuneAIPDestrequise,

lecomitéémetlesobservationssuivantes.

NATUREINDICATIVEDELALISTEÉtantdonnéquelecaractèrenonexhaustifdelalisten’estpasexpressémentspécifiédanslalistesoumiseparl’autoritédecontrôlefrançaise,lecomitédemandel’ajoutd’uneexplicationencesensdansledocumentcontenantlaliste.

REFERENCEAUXLIGNESDIRECTRICESLecomitéestimequel’analyseeffectuéeparlegroupedetravail«Article29»dansseslignesdirectricesWP248estunélémentclépourgarantirlacohérencedansl’ensembledel’Union.Dès lors, il demande aux différentes autorités de contrôle d’ajouter dans le document

7

contenantleurlisteunementionindiquantquecelle-ciestfondéesurceslignesdirectricesetqu’ellelescomplèteetlesprécisedavantage.

Étantdonnéqueledocumentdel’autoritédecontrôlefrançaisenecontientpasdementionàceteffet,lecomitérecommandeàcetteautoritédelemodifierenconséquence.

DONNEESBIOMETRIQUESLa liste soumise au comité pour avis par l’autorité de contrôle française prévoit que letraitementdedonnéesbiométriquesensoi relèvede l’obligationderéaliseruneAIPD.Lecomitéestimequeletraitementdedonnéesbiométriquesensoin’estpasnécessairementsusceptibledeprésenterunrisqueélevé.Néanmoins,letraitementdedonnéesbiométriqueseffectuéauxfinsd’identifierunepersonnephysiquedemanièreunique,associéàaumoinsunautrecritère,nécessitelaréalisationd’uneAIPD.Dèslors,lecomitédemandeàl’autoritédecontrôlefrançaisedemodifiersalisteenconséquence,enajoutantquel’élémentrelatifautraitementdedonnéesbiométriqueseffectuéauxfinsd’identifierunepersonnephysiquedemanièreuniquerequiertuneAIPDuniquementlorsqu’ilestassociéàaumoinsunautrecritère,sanspréjudicedel’article35,paragraphe3,duRGPD.

DONNEESGENETIQUESLa liste soumise au comité pour avis par l’autorité de contrôle française prévoit que letraitementdedonnéesgénétiquesensoirelèvedel’obligationderéaliseruneAIPD.Lecomitéestimequeletraitementdedonnéesgénétiquesensoin’estpasnécessairementsusceptibledeprésenterunrisqueélevé.Néanmoins,letraitementdedonnéesgénétiquesassociéàaumoinsunautre critèrenécessite la réalisationd’uneAIPD.Dès lors, le comitédemandeàl’autorité de contrôle française de modifier sa liste en conséquence, en ajoutant quel’élémentrelatifautraitementdedonnéesgénétiquesrequiertuneAIPDuniquementlorsqu’ilestassociéàaumoinsunautrecritère,sanspréjudicedel’article35,paragraphe3,duRGPD.

DONNEESDELOCALISATIONLecomitéestd’avisquelacohérenceestl’undesprincipesdebaseduRGPD.Ilconstateque,dansleurmajorité,leslistessoumisesfontexpressémentréférenceautraitementdedonnéesdelocalisation.Étantdonnéquelalistesoumisepouravisparl’autoritédecontrôlefrançaisenecontientpasdetelleréférence,lecomitéencouragecetteautoritéàinclureletraitementdedonnéesdelocalisationdanssaliste,enassociationavecunautrecritère.

SURVEILLANCEDESEMPLOYESLecomitéestd’avisqu’enraisondesanaturespécifique,letraitementdanslecadredelasurveillance des employés, qui remplit les critères relatifs aux personnes concernéesvulnérablesetàlasurveillancesystématiquementionnésdansleslignesdirectrices,pourraitnécessiteruneAIPD.Étantdonnéquelalistesoumiseaucomitépouravisparl’autoritédecontrôlefrançaiseenvisagedéjàcetypedetraitementcommerequérantuneAIPD,lecomitérecommande seulement d’ajouter une référence explicite aux deux critères des lignesdirectrices WP248 du groupe de travail «Article29». En outre, le comité estime que le

8

documentWP249dugroupedetravail«Article29»restevalablepourcequiestdedéfinirlanotiondetraitementsystématiquededonnéesd’employés.

3. Conclusions/recommandations Le projet de liste de l’autorité de contrôle française pourrait entraîner une applicationincohérentedel’exigencerelativeàlaréalisationd’uneAIPD,etlesmodificationssuivantesdoiventyêtreapportées:

• encequiconcernelanatureindicativedelaliste:lecomitédemandel’ajout,dansledocument contenant la liste, d’une explication précisant que celle-ci n’est pasexhaustive;

• en ce qui concerne la référence aux lignes directrices: le comité recommande àl’autoritédecontrôlefrançaisedemodifiersondocumentenconséquence;

• en ce qui concerne les données biométriques: le comité demande à l’autorité decontrôlefrançaisedemodifiersalisteenajoutantquel’élémentrelatifautraitementde données biométriques effectué aux fins d’identifier une personne physique demanièreunique requiertuneAIPDuniquement lorsqu’il est associé à aumoinsunautrecritère;

• en ce qui concerne les données génétiques: le comité demande à l’autorité decontrôlefrançaisedemodifiersalisteenajoutantquel’élémentrelatifautraitementdedonnéesgénétiquesrequiertuneAIPDuniquementlorsqu’ilestassociéàaumoinsunautrecritère;

• en ce qui concerne les données de localisation: le comité encourage l’autorité decontrôlefrançaiseàinclureletraitementdedonnéesdelocalisationdanssaliste,enassociationavecunautrecritère;

• encequiconcernelasurveillancedesemployés:lecomitérecommandeseulementdefaireexpressémentréférenceauxdeuxcritèresdeslignesdirectricesWP248dugroupedetravail«Article29».

4. Remarques finales Le présent avis est adressé à la Commission nationale de l’informatique et des libertés(autorité de contrôle française) et sera publié conformément à l’article64, paragraphe5,pointb),duRGPD.

Conformémentà l’article64,paragraphes7et8,duRGPD, l’autoritédecontrôledoit fairesavoirauprésidentducomitéparvoieélectronique,dansundélaidedeuxsemainessuivantlaréceptiondel’avis,siellemodifieraousiellemaintiendrasonprojetdeliste.Danslemêmedélai,elledoitfournirsonprojetdelistemodifiéou,siellen’apasl’intentiondesuivrel’avisducomité,entoutouenpartie,elledoitfournirlesmotifspertinentsjustifiantcechoix.

9

Pourlecomitéeuropéendelaprotectiondesdonnées

Laprésidente

(AndreaJelinek)