La délibération du 12 septembre 2019 de la Cnil fixe la liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données n’est pas requise.
Le texte précise que si la présence d’une opération de traitement sur cette liste dispense de réaliser une analyse d’impact, le responsable de traitement reste soumis à l’ensemble des autres obligations qui lui incombent en application du RGPD et de la loi du 6 janvier 1978. Notamment, le fait qu’une activité de traitement relève de cette liste ne signifie pas qu’un responsable de traitement est exempté des obligations énoncées à l’article 32 du RGPD en matière de sécurité du traitement.
Dans cette liste, figurant en annexe, on retrouve notamment :
- les traitements mis en œuvre dans les conditions prévues par les textes relatifs à la gestion du fichier électoral des communes ;
- les traitements mis en œuvre par les collectivités territoriales et les personnes morales de droit public et de droit privé aux fins de gérer les services en matière d’affaires scolaires, périscolaires et de la petite enfance.
Cet article est en relation avec le dossier
Domaines juridiques