La CNIL a publié la liste des traitements pour lesquels elle estime qu’une analyse d’impact relative à la protection des données (AIPD) doit être effectuée avant la mise en oeuvre du traitement. Cette liste a été élaborée sur la base des neuf critères dégagés par les autorités dans leur recommandations (voir article relatif aux Analyses d’Impact ici).
Cette liste n’est pas exhaustive et par conséquent d’autres traitements peuvent faire l’objet d’une AIPD en vertu de l’application du RGPD et/ou des neufs critères susmentionnés.
La liste de la CNIL cible principalement les traitements concernant les personnes dites vulnérables (salariés, enfants, personnes âgées) ou les traitements particulièrement intrusifs (ex: profilage) . La liste contient le détails des traitements concernées (voir lien ci-après) et concerne principalement les catégories de traitements suivantes:
- les traitements permettant de surveiller les salariés ou ayant des effets similaires (ex: videosurveillance dans certaines lieux, mise en oeuvre de système de cybersurveillance et de Data Loss Prevention) ;
- le profilage ayant des effets sur les personnes (exclusion des effets d’un contrat) ou impliquant la collecte de données de sources externes, la CNIL inclut dans cette catégories les traitements permettant la publicité personnalisée ;
- la géolocalisation à grande échelle (ex: application mobile utilisant la géolocalisation) ;
- certains traitements relatifs aux données de santé ou relatif aux services sociaux.
Pour une liste détaillée des traitements concernés, voici le lien vers le site de la CNIL
Cette publication est également disponible en en_GB.