La période de tolérance instaurée par la Cnil concernant la mise en œuvre des analyses d’impact a pris fin le 25 mai 2021.
Depuis cette date, la réalisation d’une analyse d’impact relative à la protection des données (AIPD) devient obligatoire pour tous les traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes physiques (RGPD, art. 35, § 1).
La Cnil a dressé une liste non exhaustive des traitements pour lesquels une analyse d’impact est requise. En matière de ressources humaines elle vise notamment :
– le chronotachygraphe des véhicules de transport routier
– la vidéosurveillance d’un entrepôt stockant des biens de valeur au sein duquel travaillent des manutentionnaires
– la vidéosurveillance portant sur les employés manipulant de l’argent
– etc.
Elle a également réalisé une liste de ceux pour lesquels cette analyse n’est pas requise, notamment les traitements mis en œuvre uniquement à des fins de :
– gestion des contrôles d’accès physiques et des horaires pour le calcul du temps de travail, en dehors de tout dispositif biométrique, à l’exclusion des traitements des données qui révèlent des données sensibles ou à caractère hautement personnel
– de ressources humaines et dans les conditions prévues par les textes applicables (bulletins de paie, formation, frais professionnels, entretiens annuels, etc.), pour la seule gestion du personnel des organismes qui emploient moins de 250 personnes, à l’exception du recours au profilage.
Afin de laisser le temps aux entreprises de se conformer à cette nouvelle obligation, la Cnil avait accordé une dispense pendant une période de 3 ans pour certains traitements.
Le non-respect d’une AIPD expose l’entreprise à une sanction maximum de 2 % de son chiffre d’affaires mondial ou 10 millions d’euros, mais également à un risque pour l’employeur ou le DRH de voir sa responsabilité engagée.
Délibération Cnil 327 du 11 octobre 2018 – https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000037559521
Délibération Cnil 11 du 31 janvier 2019 – https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000039248939
Actualités – Technique Site CSOEC 21/05/2021
