Article
En savoir plus...
Jurisprudence
Actualités
Article 35 - Analyse d'impact relative à la protection des données
1. Lorsqu'un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l'impact des opérations de traitement envisagées sur la protection des données à caractère personnel. Une seule et même analyse peut porter sur un ensemble d'opérations de traitement similaires qui présentent des risques élevés similaires.2. Lorsqu'il effectue une analyse d'impact relative à la protection des données, le responsable du traitement demande conseil au délégué à la protection des données, si un tel délégué a été désigné.
3. L'analyse d'impact relative à la protection des données visée au paragraphe 1 est, en particulier, requise dans les cas suivants:
- a) l'évaluation systématique et approfondie d'aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l'égard d'une personne physique ou l'affectant de manière significative de façon similaire;
- b) le traitement à grande échelle de catégories particulières de données visées à l'article 9, paragraphe 1, ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article 10; ou
- c) la surveillance systématique à grande échelle d'une zone accessible au public.
5. L'autorité de contrôle peut aussi établir et publier une liste des types d'opérations de traitement pour lesquelles aucune analyse d'impact relative à la protection des données n'est requise. L'autorité de contrôle communique cette liste au comité.
6. Avant d'adopter les listes visées aux paragraphes 4 et 5, l'autorité de contrôle compétente applique le mécanisme de contrôle de la cohérence visé à l'article 63, lorsque ces listes comprennent des activités de traitement liées à l'offre de biens ou de services à des personnes concernées ou au suivi de leur comportement dans plusieurs États membres, ou peuvent affecter sensiblement la libre circulation des données à caractère personnel au sein de l'Union.
7. L'analyse contient au moins:
- a) une description systématique des opérations de traitement envisagées et des finalités du traitement, y compris, le cas échéant, l'intérêt légitime poursuivi par le responsable du traitement;
- b) une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités;
- c) une évaluation des risques pour les droits et libertés des personnes concernées conformément au paragraphe 1; et
- d) les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du présent règlement, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes affectées.
9. Le cas échéant, le responsable du traitement demande l'avis des personnes concernées ou de leurs représentants au sujet du traitement prévu, sans préjudice de la protection des intérêts généraux ou commerciaux ou de la sécurité des opérations de traitement.
10. Lorsque le traitement effectué en application de l'article 6, paragraphe 1, point c) ou e), a une base juridique dans le droit de l'Union ou dans le droit de l'État membre auquel le responsable du traitement est soumis, que ce droit règlemente l'opération de traitement spécifique ou l'ensemble des opérations de traitement en question et qu'une analyse d'impact relative à la protection des données a déjà été effectuée dans le cadre d'une analyse d'impact générale réalisée dans le cadre de l'adoption de la base juridique en question, les paragraphes 1 à 7 ne s'appliquent pas, à moins que les États membres n'estiment qu'il est nécessaire d'effectuer une telle analyse avant les activités de traitement.
11. Si nécessaire, le responsable du traitement procède à un examen afin d'évaluer si le traitement est effectué conformément à l'analyse d'impact relative à la protection des données, au moins quand il se produit une modification du risque présenté par les opérations de traitement.
En savoir plus...
L'article 35 impose au responsable du traitement de procéder à une analyse d'impact sur la protection des données (AIPD) lorsqu'un certain traitement (ou un ensemble de traitements présentant des caractéristiques similaires) présente un risque élevé pour les droits et libertés des personnes physiques. L'AIPD est l'un des éléments les plus novateurs du RGPD en ce qui concerne le principe de responsabilité (voir l'article 5, paragraphe 2, et l'article 24 du RGPD). Cette disposition régit les cas dans lesquels une AIPD est obligatoire, son contenu minimum et d'autres aspects procéduraux liés à la réalisation de l'analyse qu'elle implique.Le RGPD prévoit-il une amende en cas d'infraction à cet article ?
Conformément à l'article article 83 du RGPD, les infractions aux règles définies dans le présent article sont passibles d'amendes administratives pouvant aller jusqu'à 10 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 2 % du chiffre d'affaires annuel mondial total réalisé au cours de l'exercice précédent, le montant le plus élevé étant retenu.
Considérants pertinents
[Risques pours les droits et libertés de personnes physiques]
75. Des risques pour les droits et libertés des personnes physiques, dont le degré de probabilité et de gravité varie, peuvent résulter du traitement de données à caractère personnel qui est susceptible d'entraîner des dommages physiques, matériels ou un préjudice moral, en particulier: lorsque le traitement peut donner lieu à une discrimination, à un vol ou une usurpation d'identité, à une perte financière, à une atteinte à la réputation, à une perte de confidentialité de données protégées par le secret professionnel, à un renversement non autorisé du processus de pseudonymisation ou à tout autre dommage économique ou social important; lorsque les personnes concernées pourraient être privées de leurs droits et libertés ou empêchées d'exercer le contrôle sur leurs données à caractère personnel; lorsque le traitement concerne des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, la religion ou les convictions philosophiques, l'appartenance syndicale, ainsi que des données génétiques, des données concernant la santé ou des données concernant la vie sexuelle ou des données relatives à des condamnations pénales et à des infractions, ou encore à des mesures de sûreté connexes; lorsque des aspects personnels sont évalués, notamment dans le cadre de l'analyse ou de la prédiction d'éléments concernant le rendement au travail, la situation économique, la santé, les préférences ou centres d'intérêt personnels, la fiabilité ou le comportement, la localisation ou les déplacements, en vue de créer ou d'utiliser des profils individuels; lorsque le traitement porte sur des données à caractère personnel relatives à des personnes physiques vulnérables, en particulier les enfants; ou lorsque le traitement porte sur un volume important de données à caractère personnel et touche un nombre important de personnes concernées.
[Analyse d'impact sur la protection des données]
84. Afin de mieux garantir le respect du présent règlement lorsque les opérations de traitement sont susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement devrait assumer la responsabilité d'effectuer une analyse d'impact relative à la protection des données pour évaluer, en particulier, l'origine, la nature, la particularité et la gravité de ce risque. Il convient de tenir compte du résultat de cette analyse pour déterminer les mesures appropriées à prendre afin de démontrer que le traitement des données à caractère personnel respecte le présent règlement. Lorsqu'il ressort de l'analyse d'impact relative à la protection des données que les opérations de traitement des données comportent un risque élevé que le responsable du traitement ne peut atténuer en prenant des mesures appropriées compte tenu des techniques disponibles et des coûts liés à leur mise en œuvre, il convient que l'autorité de contrôle soit consultée avant que le traitement n'ait lieu.
[Abrogation du principe notification des traitements aux autorités]
89. La directive 95/46/CE prévoyait une obligation générale de notifier les traitements de données à caractère personnel aux autorités de contrôle. Or, cette obligation génère une charge administrative et financière, sans pour autant avoir systématiquement contribué à améliorer la protection des données à caractère personnel. Ces obligations générales de notification sans distinction devraient dès lors être supprimées et remplacées par des procédures et des mécanismes efficaces ciblant plutôt les types d'opérations de traitement susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes physiques, du fait de leur nature, de leur portée, de leur contexte et de leurs finalités. Ces types d'opérations de traitement peuvent inclure ceux qui, notamment, impliquent le recours à de nouvelles technologies ou qui sont nouveaux et pour lesquels aucune analyse d'impact relative à la protection des données n'a été effectuée au préalable par le responsable du traitement, ou qui deviennent nécessaires compte tenu du temps écoulé depuis le traitement initial.
[Périmètre et contenu de l'analyse d'impact]
90. Dans de tels cas, une analyse d'impact relative à la protection des données devrait être effectuée par le responsable du traitement, préalablement au traitement, en vue d'évaluer la probabilité et la gravité particulières du risque élevé, compte tenu de la nature, de la portée, du contexte et des finalités du traitement et des sources du risque. Cette analyse d'impact devrait comprendre, notamment, les mesures, garanties et mécanismes envisagés pour atténuer ce risque, assurer la protection des données à caractère personnel et démontrer le respect du présent règlement.
[Critères de réalisation d'une analyse d'impact]
91. Cela devrait s'appliquer en particulier aux opérations de traitement à grande échelle qui visent à traiter un volume considérable de données à caractère personnel au niveau régional, national ou supranational, qui peuvent affecter un nombre important de personnes concernées et qui sont susceptibles d'engendrer un risque élevé, par exemple, en raison de leur caractère sensible, lorsque, en conformité avec l'état des connaissances technologiques, une nouvelle technique est appliquée à grande échelle, ainsi qu'à d'autres opérations de traitement qui engendrent un risque élevé pour les droits et libertés des personnes concernées, en particulier lorsque, du fait de ces opérations, il est plus difficile pour ces personnes d'exercer leurs droits. Une analyse d'impact relative à la protection des données devrait également être effectuée lorsque des données à caractère personnel sont traitées en vue de prendre des décisions relatives à des personnes physiques spécifiques à la suite d'une évaluation systématique et approfondie d'aspects personnels propres à des personnes physiques sur la base du profilage desdites données ou à la suite du traitement de catégories particulières de données à caractère personnel, de données biométriques ou de données relatives à des condamnations pénales et à des infractions, ou encore à des mesures de sûreté connexes. Une analyse d'impact relative à la protection des données est de même requise aux fins de la surveillance à grande échelle de zones accessibles au public, en particulier lorsque des dispositifs opto-électroniques sont utilisés, ou pour toute autre opération pour laquelle l'autorité de contrôle compétente considère que le traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées, en particulier parce qu'elles empêchent ces personnes d'exercer un droit ou de bénéficier d'un service ou d'un contrat, ou parce qu'elles sont effectuées systématiquement à grande échelle. Le traitement de données à caractère personnel ne devrait pas être considéré comme étant à grande échelle si le traitement concerne les données à caractère personnel de patients ou de clients par un médecin, un autre professionnel de la santé ou un avocat exerçant à titre individuel. Dans de tels cas, une analyse d'impact relative à la protection des données ne devrait pas être obligatoire.
[Analyses d'impact plus larges que le traitement]
92. Il existe des cas dans lesquels il peut être raisonnable et économique d'élargir la portée de l'analyse d'impact relative à la protection des données au-delà d'un projet unique, par exemple lorsque des autorités publiques ou organismes publics entendent mettre en place une application ou une plateforme de traitement commune, ou lorsque plusieurs responsables du traitement envisagent de créer une application ou un environnement de traitement communs à tout un secteur ou segment professionnel, ou pour une activité transversale largement utilisée.
[Analyse d'impact pour les traitements mis en oeuvre par le secteur public]
93. Au moment de l'adoption du droit d'un État membre qui fonde l'exercice des missions de l'autorité publique ou de l'organisme public concernés et qui règlemente l'opération ou l'ensemble d'opérations de traitement spécifiques, les États membres peuvent estimer qu'une telle analyse est nécessaire préalablement aux activités de traitement.
75. Des risques pour les droits et libertés des personnes physiques, dont le degré de probabilité et de gravité varie, peuvent résulter du traitement de données à caractère personnel qui est susceptible d'entraîner des dommages physiques, matériels ou un préjudice moral, en particulier: lorsque le traitement peut donner lieu à une discrimination, à un vol ou une usurpation d'identité, à une perte financière, à une atteinte à la réputation, à une perte de confidentialité de données protégées par le secret professionnel, à un renversement non autorisé du processus de pseudonymisation ou à tout autre dommage économique ou social important; lorsque les personnes concernées pourraient être privées de leurs droits et libertés ou empêchées d'exercer le contrôle sur leurs données à caractère personnel; lorsque le traitement concerne des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, la religion ou les convictions philosophiques, l'appartenance syndicale, ainsi que des données génétiques, des données concernant la santé ou des données concernant la vie sexuelle ou des données relatives à des condamnations pénales et à des infractions, ou encore à des mesures de sûreté connexes; lorsque des aspects personnels sont évalués, notamment dans le cadre de l'analyse ou de la prédiction d'éléments concernant le rendement au travail, la situation économique, la santé, les préférences ou centres d'intérêt personnels, la fiabilité ou le comportement, la localisation ou les déplacements, en vue de créer ou d'utiliser des profils individuels; lorsque le traitement porte sur des données à caractère personnel relatives à des personnes physiques vulnérables, en particulier les enfants; ou lorsque le traitement porte sur un volume important de données à caractère personnel et touche un nombre important de personnes concernées.
[Analyse d'impact sur la protection des données]
84. Afin de mieux garantir le respect du présent règlement lorsque les opérations de traitement sont susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement devrait assumer la responsabilité d'effectuer une analyse d'impact relative à la protection des données pour évaluer, en particulier, l'origine, la nature, la particularité et la gravité de ce risque. Il convient de tenir compte du résultat de cette analyse pour déterminer les mesures appropriées à prendre afin de démontrer que le traitement des données à caractère personnel respecte le présent règlement. Lorsqu'il ressort de l'analyse d'impact relative à la protection des données que les opérations de traitement des données comportent un risque élevé que le responsable du traitement ne peut atténuer en prenant des mesures appropriées compte tenu des techniques disponibles et des coûts liés à leur mise en œuvre, il convient que l'autorité de contrôle soit consultée avant que le traitement n'ait lieu.
[Abrogation du principe notification des traitements aux autorités]
89. La directive 95/46/CE prévoyait une obligation générale de notifier les traitements de données à caractère personnel aux autorités de contrôle. Or, cette obligation génère une charge administrative et financière, sans pour autant avoir systématiquement contribué à améliorer la protection des données à caractère personnel. Ces obligations générales de notification sans distinction devraient dès lors être supprimées et remplacées par des procédures et des mécanismes efficaces ciblant plutôt les types d'opérations de traitement susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes physiques, du fait de leur nature, de leur portée, de leur contexte et de leurs finalités. Ces types d'opérations de traitement peuvent inclure ceux qui, notamment, impliquent le recours à de nouvelles technologies ou qui sont nouveaux et pour lesquels aucune analyse d'impact relative à la protection des données n'a été effectuée au préalable par le responsable du traitement, ou qui deviennent nécessaires compte tenu du temps écoulé depuis le traitement initial.
[Périmètre et contenu de l'analyse d'impact]
90. Dans de tels cas, une analyse d'impact relative à la protection des données devrait être effectuée par le responsable du traitement, préalablement au traitement, en vue d'évaluer la probabilité et la gravité particulières du risque élevé, compte tenu de la nature, de la portée, du contexte et des finalités du traitement et des sources du risque. Cette analyse d'impact devrait comprendre, notamment, les mesures, garanties et mécanismes envisagés pour atténuer ce risque, assurer la protection des données à caractère personnel et démontrer le respect du présent règlement.
[Critères de réalisation d'une analyse d'impact]
91. Cela devrait s'appliquer en particulier aux opérations de traitement à grande échelle qui visent à traiter un volume considérable de données à caractère personnel au niveau régional, national ou supranational, qui peuvent affecter un nombre important de personnes concernées et qui sont susceptibles d'engendrer un risque élevé, par exemple, en raison de leur caractère sensible, lorsque, en conformité avec l'état des connaissances technologiques, une nouvelle technique est appliquée à grande échelle, ainsi qu'à d'autres opérations de traitement qui engendrent un risque élevé pour les droits et libertés des personnes concernées, en particulier lorsque, du fait de ces opérations, il est plus difficile pour ces personnes d'exercer leurs droits. Une analyse d'impact relative à la protection des données devrait également être effectuée lorsque des données à caractère personnel sont traitées en vue de prendre des décisions relatives à des personnes physiques spécifiques à la suite d'une évaluation systématique et approfondie d'aspects personnels propres à des personnes physiques sur la base du profilage desdites données ou à la suite du traitement de catégories particulières de données à caractère personnel, de données biométriques ou de données relatives à des condamnations pénales et à des infractions, ou encore à des mesures de sûreté connexes. Une analyse d'impact relative à la protection des données est de même requise aux fins de la surveillance à grande échelle de zones accessibles au public, en particulier lorsque des dispositifs opto-électroniques sont utilisés, ou pour toute autre opération pour laquelle l'autorité de contrôle compétente considère que le traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées, en particulier parce qu'elles empêchent ces personnes d'exercer un droit ou de bénéficier d'un service ou d'un contrat, ou parce qu'elles sont effectuées systématiquement à grande échelle. Le traitement de données à caractère personnel ne devrait pas être considéré comme étant à grande échelle si le traitement concerne les données à caractère personnel de patients ou de clients par un médecin, un autre professionnel de la santé ou un avocat exerçant à titre individuel. Dans de tels cas, une analyse d'impact relative à la protection des données ne devrait pas être obligatoire.
[Analyses d'impact plus larges que le traitement]
92. Il existe des cas dans lesquels il peut être raisonnable et économique d'élargir la portée de l'analyse d'impact relative à la protection des données au-delà d'un projet unique, par exemple lorsque des autorités publiques ou organismes publics entendent mettre en place une application ou une plateforme de traitement commune, ou lorsque plusieurs responsables du traitement envisagent de créer une application ou un environnement de traitement communs à tout un secteur ou segment professionnel, ou pour une activité transversale largement utilisée.
[Analyse d'impact pour les traitements mis en oeuvre par le secteur public]
93. Au moment de l'adoption du droit d'un État membre qui fonde l'exercice des missions de l'autorité publique ou de l'organisme public concernés et qui règlemente l'opération ou l'ensemble d'opérations de traitement spécifiques, les États membres peuvent estimer qu'une telle analyse est nécessaire préalablement aux activités de traitement.
Droit souple
Lignes directrices et recommandations
> CEPD - Recommandations 01/2019 - Projet de listes d'opérations avec AIPD requise
10 septembre 2019
> CNIL - Lignes directrices - Analyse d'impact sur la protection des données (AIPD)
11 octobre 2018
> CNIL - Traitements avec AIPD requise
11 octobre 2018
> CNIL - Traitements avec AIPD non requise
12 septembre 2019
> WP29 - Lignes directrices - Analyse d'impact (AIPD)
WP250, 05 avril 2017, modifiées le 04 octobre 2017
Guides pratiques
> CNIL - Bases de connaissances sur l'analyse d'impact (AIPD)
février 2018
Rien trouvé ? N'hésitez pas à consulter la documentation sectorielle et transversale !
Références
Cet article cite...
> Article 6- Licéité du traitement
> Article 9 - Traitement portant sur des catégories particulières de données à caractère personnel
> Article 10 - Traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions
> Article 40 - Codes de conduite
> Article 63 - Mécanisme de contrôle de la cohérence
> Article 68 - Comité européen de la protection des données
Cet article est cité par...
> Article 28 - Sous-traitant
> Article 36 - Consultation préalable
> Article 39 - Missions du délégué à la protection des données
> Article 57 - Missions
> Article 64 - Avis du comité
> Article 83 - Conditions générales pour imposer des amendes administratives
Autres textes liés
> Article 5 - Principes relatifs au traitement des données à caractère personnel
En savoir plus...
Droit souple (sectoriel ou transversal)
Lignes directrices et recommandations
> CNIL - Recommandations - Applications mobiles
08 avril 2025
> CEPD - Lignes directrices 02/2023 - Champ d’application de l’article 5,3 de la directive ePrivacy (v2.0)
07 octobre 2024
> CNIL - Projet de recommandations - Données de localisation des véhicules connectées
25 mars 2025, ouvert à consultation public
> CNIL - Recommandations - Vidéosurveillance dans les Ehpad
29 février 2024
> CNIL - Recommandations - API
07 juillet 2023
> CNIL - Recommandations - Télésurveillance examens en ligne
8 juin 2023
> CEPD - Lignes directrices 02/2021 - Assistants vocaux virtuels (v2.0)
7 juillet 2021
> CEPD - Lignes directrices 8/2020 - Ciblage des utilisateurs de médias sociaux (v2.0)
13 avril 2021
> CEPD - Lignes directrices 01/2020 - Véhicules connectés et applications de mobilité (v2.0)
9 mars 2021
> CEPD - Lignes directrices 6/2020 - Intéraction directive services de paiement et RGPD (v2.0)
15 décembre 2020
> CNIL - Lignes directrices - Cookies et autres traceurs
17 septembre 2020
> CNIL - Recommandations - Cookies et autres traceurs
17 septembre 2020
> CEPD - Lignes directrices 3/2019 - Dispositifs vidéo (v2.0)
29 janvier 2020
Référentiels
> CNIL - Référentiel - Systèmes d'alertes professionnelles
06 juillet 2023
> CNIL - Référentiel - Officines de pharmacie
18 juillet 2022
> CNIL - Référentiel - Gestion commerciale
03 février 2022
> CNIL - Référentiel - Gestion des impayés
03 février 2022
> CNIL - Référentiel - Protection de l'enfance
20 janvier 2022
> CNIL - Référentiel - Gestion locative
6 mai 2021)
> CNIL - Référentiel - Accueil, hébergement et accompagnement social et médico-social des personnes en difficulté
11 mars 2021
> CNIL - Référentiel - Gestion RH
21 novembre 2019
Guides pratiques
> CNIL - Guide pratique - Obligations et responsabilités des collectivités locales
04 juillet 2022
> CNIL - Guide pratique - Guide pratique du développeur
13 décembre 2021 (sur le github de la CNIL)
> CNIL - Guide pratique - Guide pratique de l'UNAF
Mars 2021 (sur le site de l'UNAF)
> CNIL - Guide pratique - Sensibilisation pour les collectivités territoriales
18 septembre 2019
> CNIL - Guide pratique - Guide pratique de l'ordre des médecins
01 juin 2018
Jurisprudence
Note importante : cette base de données n'est pas achevée, il est donc possible que la partie soit vide, ou que certains résultats soient peu pertinents ou soient manquants. Veuillez ne pas hésiter à me le signaler !
Effacer les filtres
| Décision n° | Apport de la décision | + d'infos | Thème | Secteur | Autorite | Annee | ||
|---|---|---|---|---|---|---|---|---|
| 447513 | Ligue des droits de l’homme et autres | 24/12/2021 | Traitement relevant de la directive « Police-Justice » susceptible d'engendrer un risque élevé et mis en œuvre pour le compte de l'État - Analyse d'impact devant être réalisée et transmise à la CNIL avant l'édiction de l'acte définissant le traitement | Lien | A classer | Police-Justice | Conseil d'Etat | 2021 |
| Avis 396817 | Projet de décret portant transposition des principes du code mondial antidopage et diverses modifications relatives à la procédure disciplinaire | 19/03/2019 | Analyse d’impact (AIPD) - 1) Modalité de la procédure consultative et condition de la légalité d’un décret - Absence - 2) Obligation de fond pour le responsable de traitement | Lien | A classer | Administration | Conseil d'Etat | 2019 |
| Avis 396340 | Projet de décret (caméras individuelles des agents de la police municipale) | 08/01/2019 | Directive Police-Justice - Possibilité de mener une unique analyse d’impact sur « un ensemble d’opérations de traitement similaires qui présentent des risques élevés similaires » - Existence même si aucune disposition de la directive ne le prévoit | Lien | A classer | Police-Justice | Conseil d'Etat | 2019 |
| Avis 395077 | Projet de décret comportant la mise en œuvre de traitement relevant de la procédure prévue au b) du règlement (UE) n°2016/679 du 27 avril 2016 (RGPD) | 03/07/2018 | Analyse d'impact (AIPD) - Traitement nécessaire à l’organisation d’un vote électronique (traitement à grande échelle de données sensibles) - Obligation - Nécessité de l'achever avant la mise en oeuvre du traitement | Lien | A classer | Conseil d'Etat | 2018 |
Actualités
Profitez de nos actualités en lien avec cet article !UODO (autorité polonaise)
12 mars 2025
Amende prononcée contre une radio polonaise pour l’absence de procédures protégeant les droits des protagonistes des publications
L’autorité polonaise a aujourd’hui publié un communiqué de presse annonçant la condamnation de la radio Szcezin en raison de l’absence de procédures protégeant les droits des personnes concernées par les publications même lorsqu’il ne s’agit pas de personna [...]
DVI (autorité lettonne)
06 mars 2025
La DVI élabore une liste de traitements pour lesquels une AIPD n’est pas nécessaire
Comme nous l’avons déjà informé, l’Inspection nationale des données a élaboré et publié des directives intitulées « Évaluation de l’impact sur la protection des données », qui offrent une approche pragmatique et claire pour l’identification et la gestion des risques, aidant à comprendre quand et comment effe [...]
AEPD (autorité espagnole)
03 mars 2025
Utilisation illégale de la biométrie pour l’accès aux stades : La Liga sanctionnée à 10 millions d’euros d’amende par l’AEPD
Vendredi, l’Agence Espagnole de Protection des Données (AEPD) a sanctionné la Liga Nacional de Fútbol Profesional (LNFP) pour l’implantation de systèmes de reconnaissance biométrique visant à contrôler l’accès aux « gradas de animación » des stades de football. L’affaire a débuté après [...]
DVI (autorité lettonne)
25 février 2025
Le Lettonie se dote de lignes directrices sur les AIPD
Pour aider les organisations dans ce processus, l’autorité lettonne a aujourd’hui annoncé avoir élaboré des lignes directrices sur les « évaluations d’impact de la protection des données » ou AIPD. Ce guide propose une approche pratique et claire de l’identification et de la gestion des risques, vous aidant à comprendre quand et comment réali [...]
APD (autorité belge)
18 février 2025
L’APD ordonne à la commune d’Anvers de supprimer des données audio de son projet « bruit dans le quartier étudiant »
La Chambre Contentieuse de l’APD a adressé aujourd’hui une réprimande à la Ville d’Anvers pour son projet pilote de mesure intelligente des nuisances sonores dans son quartier étudiant, qui a eu lieu en 2022. Le but de ce projet pilote était de cartographier les nuisances sonores dans le quart [...]
CNIL
04 février 2025
Surveillance excessive des salariés : sanction de 40 000 euros à l’encontre d’une entreprise du secteur immobilier
La CNIL a aujourd’hui annoncé avoir sanctionné une société (non nommée) d’une amende de 40 000 euros en raison d’une surveillance disproportionnée de l’activité de ses salariés, à travers un logiciel paramétré pour comptabiliser des périodes « d’inactivité » supposée et pour effectuer des captures d’é [...]
AEPD (autorité espagnole)
27 janvier 2025
L’autorité espagnole condamne Generali à 5 millions d’euros en raison de failles de sécurité ayant abouti à une violationÂ
La Agencia Española de Protección de Datos (AEPD) a sanctionné Generali España, Sociedad Anónima de Seguros y Reaseguros, d’une amende de 5 millions d’euros (finalement rapportée à 4) pour plusieurs violations du Règlement Général sur la Protection des Données (RGPD) suite à une importante fuite de [...]
UODO (autorité polonaise)
21 janvier 2025
Amendes contre Toyota Bank (environ 135 000 euros au total) pour avoir enfreint l’indépendance de son DPO et pour non conformité du profilage réalisé
Le Président de l’UODO, MirosÅ‚aw Wróblewski, a annonce aujourd’hui que les actions de Toyota Bank Polska S.A., en tant que responsable de traitement, ont conduit à une situation où le DPO n’était pas entièrement indépendant dans son travail, ce qui [...]
APD (autorité belge)
17 décembre 2024
Un hôpital belge condamné à 50 000 euros d’amende pour des problèmes de sécurité
L’autorité belge a aujourd’hui publié une décision de sanction à l’encontre d’un hôpital pour avoir manqué à ses obligations en matière de sécurité. Plus précisément, une violation de données de type ransomware a été notifiée à l’autorité par cet hôpital belge en septembre 2021. Il s’est avéré que a [...]
DPA (autorité grecque)
21 novembre 2024
Amende de 56 000 euros prononcée à l’encontre d’un club nautique traitant des données biométriques pour contrôler les accès
Dans un communiqué publié ce jour, l’autorité a imposé une amende totale de 56 000 euros à l’encontre du Nautical Club of Vouliagmeni (N.O.V.), notamment pour avoir traité des données biométriques sans base légale et sans avoir préalablement réalisé une analyse d’impa [...]
<< Retourner au menu