Analyses d’impact sur la vie privée (AIVP/DPIA) la fin de la période de tolérance.
Petit rappel important à préciser, la CNIL indiquait clairement dans son document en date du 22 Octobre 2019 ce qu’elle entendait par la dispense de réalisation des Analyses d’Impact sur la vie privée.
« Faut-il mener une analyse d’impact pour les traitements déjà mis en œuvre au 25 mai 2018 ? »
Une étude d’impact ne sera pas exigée pour :
- les traitements qui ont fait l’objet d’une formalité préalable auprès de la CNIL avant le 25 mai 2018, ou qui étaient dispensés de formalité.
- les traitements qui ont été consignés au registre d’un correspondant « informatique et libertés ».
Cette dispense d’obligation de réaliser une AIPD, pour les traitements existants et régulièrement mis en œuvre, sera limitée à une période de 3 ans : à l’issue de ce délai, les responsables de traitement devront avoir effectué une telle étude si le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes.
En revanche, l’étude d’impact devra être réalisée, sans attendre l’issue de ce délai de trois ans, dans tous les autres cas, dès lors que le traitement présente un risque élevé : - pour tout nouveau traitement mis en œuvre après le 25 mai 2018 ;
- pour les traitements antérieurs n’ayant pas fait l’objet de formalités préalables auprès de la CNIL ;
- pour les traitements, antérieurs au 25 mai et qui ont été dispensés d’étude d’impact en raison de l’accomplissement d’une formalité préalable auprès de la CNIL, mais qui font l’objet d’une modification significative. »
Certains confrères n’ont pas dû lire en entier ce document ou il est clairement précisé que seuls un certain nombre de traitement et dans certains cas seulement étaient dispensés jusqu’au 25 Mai 2021 d’analyse d’impact. Beaucoup d’organismes lisant ces informations n’ont donc visiblement pas encore entamés ces analyses qui devaient donc être réalisées à la date du 25 mai 2018 soit deux ans après l’entrée en vigueur du RGPD et à la date de sa mise en application. Ils n’ont donc que 3 ans de retard !
Ne pas oublier non plus que dans la catégorie des personnes vulnérables les salariés en font partie selon le code du travail !
Alors quand réaliser des analyses d’impact sur la vie privée ?
Pour toutes les entreprises n’ayant pas déclaré de traitement à leur autorité de contrôle, la CNIL en France, il est urgent, de vous mettre en conformité.
La fin de la période de tolérance risque d’engendrer des contrôles de la part de la CNIL, et pour rappel, la sanction maximale est de 2% de votre CA groupe mondial ou 10 millions d’euros à la plus haute des deux valeurs.