Le R\u00e8glement g\u00e9n\u00e9ral relatif \u00e0 la protection des donn\u00e9es (RGPD), adopt\u00e9 au niveau europ\u00e9en et entr\u00e9 en vigueur le 25\u00a0mai\u00a02018, s\u2019impose \u00e0 toute entreprise qui collecte ou traite des donn\u00e9es personnelles pour son compte ou pour celui d\u2019un tiers.<\/p>\n
Une donn\u00e9e personnelle est une information qui permet, \u00e0 elle seule ou en la croisant avec d\u2019autres donn\u00e9es, d\u2019identifier une personne soit directement (nom, pr\u00e9nom), soit indirectement (t\u00e9l\u00e9phone, courriel, adresse, photo, voix, caract\u00e9ristiques physiques, empreintes\u2026). D\u00e8s lors qu\u2019il regroupe ce type d\u2019informations, un fichier (papier ou num\u00e9rique) est consid\u00e9r\u00e9 comme un traitement de donn\u00e9es personnelles et doit ainsi \u00eatre constitu\u00e9 et g\u00e9r\u00e9 conform\u00e9ment au RGPD.<\/p>\n
L\u2019entreprise qui met en place des traitements \u00ab\u00a0susceptibles d\u2019engendrer un risque \u00e9lev\u00e9 pour les droits et libert\u00e9s des personnes\u00a0\u00bb (gestion des alertes et des signalements en mati\u00e8re professionnelle, notation des personnes, vid\u00e9osurveillance constante\u2026) doit pr\u00e9alablement r\u00e9aliser une analyse d\u2019impact relative \u00e0 la protection des donn\u00e9es.<\/p>\n
\u00c0 l\u2019inverse, certains traitements sont dispens\u00e9s de cette d\u00e9marche. La Commission nationale de l\u2019informatique et des libert\u00e9s (Cnil) vient ainsi de publier une liste, non limitative, de ces traitements. Les employeurs n\u2019ont donc pas \u00e0 effectuer d\u2019analyse d\u2019impact pour\u00a0:
– les traitements mis en \u0153uvre uniquement \u00e0 des fins de ressources humaines et dans les conditions pr\u00e9vues par les textes applicables, pour la seule gestion du personnel des entreprises qui emploient moins de 250\u00a0personnes, \u00e0 l\u2019exception du recours au profilage (gestion de la paie, gestion des formations, remboursement des frais professionnels, suivi des entretiens annuels d\u2019\u00e9valuation, utilisation d\u2019outils de communication sans recours au profilage ni \u00e0 la biom\u00e9trie\u2026)\u00a0;
– les traitements instaur\u00e9s aux seules fins de gestion des contr\u00f4les d\u2019acc\u00e8s physiques et des horaires pour le calcul du temps de travail, mais \u00e0 condition qu\u2019il ne s\u2019agisse pas d\u2019un dispositif biom\u00e9trique et \u00e0 l\u2019exclusion des traitements des donn\u00e9es qui r\u00e9v\u00e8lent des donn\u00e9es sensibles ou \u00e0 caract\u00e8re hautement personnel.<\/p>\n
\n En compl\u00e9ment :<\/span> sont \u00e9galement exempt\u00e9s d\u2019analyse d\u2019impact les traitements de gestion de la relation fournisseurs (traitement permettant d\u2019effectuer les op\u00e9rations administratives li\u00e9es aux contrats, aux commandes, aux r\u00e9ceptions, aux factures, aux r\u00e8glements, etc., d\u2019\u00e9tablir les titres de paiement, d\u2019\u00e9tablir des statistiques financi\u00e8res et de chiffre d\u2019affaires par fournisseur, d\u2019entretenir une documentation sur les fournisseurs\u2026).<\/p>\n