Les listes de l'autorité de contrôle

Le RGPD oblige chaque autorité de contrôle à établir une liste des types d'opérations de traitement pour lesquelles une AIPD est requise et à communiquer ensuite cette liste au Comité européen de la protection des données (CEPD). L’Autorité a soumis son projet de liste au CEPD et l'a ensuite adapté afin de suivre les recommandations du CEPD.

L'Autorité souligne que ces listes ne portent pas préjudice à l'obligation générale du responsable du traitement de toujours prévoir des mesures techniques et organisationnelles appropriées pour garantir que le traitement est effectué conformément au RGPD.

En outre, ces listes ne sont qu'un indicateur : une AIPD reste toujours requise dès que les conditions d'application définies à l'article 35 du RGPD sont remplies. Les projets de listes doivent dès lors être considérés comme des points de départ qui servent de référence complémentaire lorsque le responsable du traitement veut vérifier si la réalisation d'une AIPD est obligatoire. Ces listes peuvent être adaptées à terme lorsqu'il s'avère qu'elles n'atteignent pas leur objectif visé.

Un projet de liste des types d'opérations de traitement pour lesquelles une AIPD est requise a été préparé par la Commission vie privée et conformé par l’Autorité de Protection de données. L’Autorité a ensuite communiqué cette liste au Comité européen de la protection des données (CEPD) afin que celui-ci se prononce, par voie d’avis. Le Comité s’est prononcé dans son avis 2/2018. L’Autorité a adapté son projet afin de suivre les recommandations du CEPD.