L’obligation d’analyse d’impact s’applique-t-elle aux traitements déjà en cours au 25 mai ?

Voici la position de la CNIL sur la question : cliquer ici pour consulter l’article de la CNIL.

Dans un souci de simplicité et d’accompagnement, la CNIL n’exigera pas la réalisation immédiate d’une analyse d’impact pour les traitements :

  • qui ont régulièrement fait l’objet d’une formalité préalable auprès de la CNIL avant le 25 mai 2018 (récépissé, autorisation, avis de la CNIL),
  • ou qui ont été consignés au registre d’un correspondant informatique et libertés.

De tels traitements ne seront donc pas soumis immédiatement à l’obligation d’analyse d’impact.

Cependant, le RGPD imposant une réévaluation dynamique des risques, une telle analyse d’impact, pour les traitements en cours et qui sont susceptibles de présenter un risque élevé, devra en principe être réalisée dans un délai raisonnable qui peut être estimé à 3 ans à compter du 25 mai 2018.

En revanche, l’analyse d’impact devra être réalisée, sans attendre l’issue de ce délai de trois ans, dans tous les autres cas où un traitement est susceptible de présenter un risque élevé :

  • pour les traitements antérieurs au 25 mai 2018 n’ayant pas fait l’objet de formalités préalables auprès de la CNIL ;
  • pour les traitements, antérieurs au 25 mai 2018 et régulièrement mis en œuvre, mais qui ont fait l’objet d’une modification substantielle depuis l’accomplissement de leur formalité préalable ;
  • pour tout nouveau traitement après le 25 mai 2018.

La CNIL ajoute : en tout état de cause, la réalisation d’une étude d’impact constitue, dans tous les cas, une bonne pratique facilitant la démarche de mise en conformité au RGPD. Pour plus d’informations sur les PIA, et notamment sur les cas dans lesquels une analyse d’impact sera obligatoire.

Les commentaires sont fermés.