RGPD : obligation de réaliser une analyse d’impact pour certains traitements

Depuis le 25 mai 2018, date d’entrée en vigueur du RGPD, toutes les entreprises n’ont pas encore pris le temps de se conformer à cette règlementation pourtant obligatoire, et ce, quelle que soit leur taille.

En effet, le traitement des données personnelles, notamment celles des salariés par les services de ressources humaines, ne fait plus l’objet d’une déclaration préalable à la CNIL, mais doit répondre aux obligations du règlement européen, le RGPD.

De surcroît, la CNIL rend obligatoire au 25 mai 2021 la réalisation d’une analyse d’impact des données dont le traitement est particulièrement sensible, dite « analyse d'impact à la protection des données » (AIPD).

L'AIPD : QU'EST-CE QUE C'EST ?

Dès lors qu'un traitement de données personnelles est considéré comme "susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées", une analyse d'impact à la protection des données (AIPD) doit être effectuée.

L'objectif de l’AIPD est de déterminer les risques inhérents au traitement de donnée concerné, ainsi que les actions mises en place pour y pallier.
C'est le responsable de traitement, a fortiori l'employeur, qui est tenu par l’obligation de s’assurer de la conformité de son traitement au RGPD, et donc de réaliser une AIPD lorsque cela est nécessaire.

QUAND L’AIPD EST-ELLE OBLIGATOIRE ?

L’AIPD est obligatoire dans deux hypothèses :

► Lorsque le traitement envisagé figure dans la liste des types d’opérations de traitement pour lesquelles la CNIL a estimé obligatoire de réaliser une analyse d’impact relative à la protection des données (voir la liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise).

La CNIL impose la mise en place d’une AIPD notamment pour les traitements suivants :

♦ Vidéosurveillance d’un entrepôt stockant des biens de valeur au sein duquel travaillent des manutentionnaires ;
♦ Service de géolocalisation de mobilité urbaine utilisé par un grand nombre de personnes ;
♦ Application mobile permettant de collecter les données de géolocalisation des utilisateurs ;
♦ Chronotachygraphe des véhicules de transport routier ;
♦ Mise en œuvre d’un système de billettique par des opérateurs de transport.

► Lorsque le traitement concerné remplit au moins deux des neuf critères suivants :

♦ évaluation/scoring (y compris le profilage) ;
♦ décision automatique avec effet légal ou similaire ;
♦ surveillance systématique ;
♦ collecte de données sensibles ou données à caractère hautement personnel ;
♦ collecte de données personnelles à large échelle ;
♦ croisement de données ;
♦ personnes vulnérables (patients, personnes âgées, enfants, etc.) ;
♦ usage innovant (utilisation d’une nouvelle technologie) ;
♦ exclusion du bénéfice d’un droit/contrat.

L'AIPD : COMMENT LA FORMALISER ?

L'AIPD se découpe en 3 parties :

  1. Une description détaillée du traitement comprenant tant les aspects techniques qu'opérationnels ;
  2. L'évaluation de nature plus juridique, de la nécessité et de la proportionnalité du traitement ;
  3. L'étude des risques sur la sécurité des données ainsi que leurs impacts potentiels sur la vie privée.

 

Le logiciel open source « PIA », mise à disposition des entreprises par la CNIL, permet la formalisation des analyses d’impact relatives à la protection des données (AIPD) telles que prévues par le RGPD.


Le logiciel est disponible en libre accès sur le site internet de la CNIL : https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil

FAUT-IL PUBLIER SON AIPD ?

Non, il n’y a aucune obligation de publication de l’AIPD.

FAUT-IL TRANSMETTRE SON AIPD A LA CNIL ?

S’il apparait, après l’AIPD, que le niveau de risque résiduel reste élevé, l’employeur doit alors transmettre son analyse d’impact à la CNIL.

Le cas échéant, l’AIPD est télétransmise à la CNIL soit par courrier avec accusé de réception, soit via le Téléservices proposé sur le site internet de la CNIL :

https://teleservices.cnil.fr/tsgen/all/organisme-aipd.action;jsessionid=2F998E77C0D68B4ABD348A604DC50149.workertsgen

QUELLE SANCTION EN CAS D’ABSENCE D’AIPD ?

La CNIL est chargée de contrôler la mise en oeuvre du RGPD et de l’AIPD au sein des entreprises.

En cas de non-confirmé constatée après un contrôle de la CNIL, le montant de l’amende encourue peut s'élever jusqu'à 10 000 000 euros ou jusqu'à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu.

 

SORECO est en mesure de vous proposer un accompagnement à la mise en place du RGPD dans votre entreprise. N’hésitez pas à nous consulter afin d’obtenir un devis personnalisé.


Le 20/04/21

SORECO, les experts de la Paie Transport

Depuis 30 ans, nous sommes aux côtés des transporteurs pour apporter une solution globale à la gestion de leurs données sociales


Témoignage client

Nos domaines d’expertise

Optimisation de la gestion sociale de votre entreprise

Pack Conseil

Accompagnement global et personnalisé dans la gestion RH et la mise en conformité sociale de votre entreprise

Audit & conseil

Analyse des données, diagnostic et solutions pertinentes pour une fiscalité allégée et une gestion sociale apaisée

Management & coaching

Dynamiser votre entreprise, renforcer votre activité avec des solutions personnalisées et adaptées à votre secteur d’activité

Expertise Paie

Charges sociales optimisées, vérification ou création des fiches de paie : nous vous garantissons la fiabilité de vos éditions

1200

Euros économisés / salarié / an

389

Clients satisfaits

0

Implantations nationales

12

Années d'expérience

Nos premiers commerciaux,
ce sont nos clients :

Frigo-Est-57

Ce qui m’a fait choisir SORECO, c’est le filet de sécurité ; ils nous guident, nous conseillent et contrôlent en cas de doute : on ne se retrouve pas seul face à nos éditions.

FRIGO EST (57) Muriel GAUGUÉ
Ulysse-transport-42

Pour moi, le choix SORECO, c’est un choix économique et social. SORECO nous a permis de faire des économies de l’ordre de 1000 € / an / salarié. Des interlocuteurs privilégiés pour plus de sérénité.

ULYSSE (42) Gérald HÉDIRIAN
groupe-ruiz-11

Ils sont très réactifs et pédagogues. On sait où on va, on sait ce qu’on fait, on a confiance, vraiment !

GROUPE RUIZ (11) Justine RUIZ
Groupe-ruiz-11

Ce que j’apprécie chez SORECO, c’est leur professionnalisme, leur capacité de s’adapter à nos problèmes et à les solutionner. Ce qui me plaît aussi, c’est la convivialité des relations, des échanges et le respect mutuel que l’on a avec eux.

GROUPE RUIZ (11) Patricia RUIZ
Transports-Boomerang-69

On a affaire à des experts de la paie transport : en fin de mois, on est serein et tout se passe bien. SORECO nous a permis de faire des économies tous les mois sur nos feuilles de paie. Travailler avec SORECO, c’est travailler avec une société à taille humaine qui connaît le transport.

BOOMERANG (69) Romain SISSIA

Actualités juridiques et sociales

Toutes les informations et les enjeux de la gestion sociale dans le Transport

RGPD : obligation de réaliser une analyse d’impact pour certains traitements

RGPD : obligation de réaliser une analyse d’impact pour certains traitements

Depuis le 25 mai 2018, date d’entrée en vigueur du RGPD, toutes les entreprises n’ont pas encore pris le temps de se conformer à cette règlementation pourtant obligatoire, et ce, quelle que soit leur taille.

En savoir plus
TRM : renouvellement ou prolongation de certains titres

TRM : renouvellement ou prolongation de certains titres

COVID 19 – Réglementation européenne prolongeant les délais de certains certificats licences et agréments échus entre le 1er février 2020 et le 1er juillet 2021.

En savoir plus
Litige et rappel d'heures supplémentaires

Litige et rappel d'heures supplémentaires

En cas de litige relatif à l'existence ou au nombre d'heures de travail accomplies par le salarié, l'employeur fournit au juge les éléments de nature à justifier les horaires effectivement réalisés par le salarié. Le juge rend alors sa décision en fonction de ces éléments et de ceux fournis par le salarié à l'appui de sa demande. (art. L. 3171-4 du Code du travail).

En savoir plus
L’index « égalité femmes hommes »

L’index « égalité femmes hommes »

Dans les entreprises de 50 salariés et plus, l'employeur doit désormais calculer puis publier l'index de l’entreprise relatif aux écarts de rémunération entre les femmes et les hommes et les actions mises en œuvre pour les supprimer.

En savoir plus