Saisi d'un projet de décret portant création d'un traitement au tomatisé de données à caractère personnel relatif à la gestion des ressources humaines d certains agents de l'État, le Conseil d'État constate que ce traitement a fait l'objet, comme il le devait, d'une analyse d’impact relative à la protection des données.

1) Il considère en premier lieu que la réalisation préalable de cette analyse d'impact est exigée par les dispositions du paragraphe 1 de l'article 35 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (dit RGPD) dans la mesure où ce traitement permet de procéder à une « évaluation systématique et approfondie d'aspects personnels fondée sur un traitement automatisé et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l'égard d'une personne physique ou l'affectant de manière significative de façon similaire » au sens du a) du paragraphe 3 du même article.

Il relève à cet égard que les traitements établissant des profil(s) de personnes physiques à des fins de gestion des ressources humaines figurent sur la liste des types d'opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données est requise, annexée à la délibération n° 2018‑327 du 11 octobre 2018 de la CNIL portant adoption de cette liste.

2) En deuxième lieu, dans la mesure où le projet de décret ouvre à des services ou institutions distincts la possibilité de recourir à ce traitement dans des conditions similaires, la dernière phrase du paragraphe 1 de l'article 35 du RGPD, selon laquelle « une seule et même analyse peut porter sur un ensemble d'opérations de traitement similaires qui présentent des risques élevés similaires », a logiquement conduit à élaborer cette analyse d'impact lors de la préparation du projet de décret.

3) En troisième lieu, lorsque des services ou institutions décideront d'y recourir sans adapter les modalités de mise en œuvre de ce traitement, l'analyse d'impact réalisée lors de la préparation du projet de décret pourra être regardée comme suffisante. Toutefois, compte tenu de la diversité de ses caractéristiques et des modes d'organisation des services ou institutions susceptibles de recourir au traitement en cause et des adaptations qu'ils décident de lui apporter en fonction de leurs besoins, il appartiendra à chaque responsable, préalablement à la mise en œuvre du traitement, de compléter le cas échéant l'analyse d'impact produite initialement par l'autorité compétente, en fonction des spécificités propres à cette mise en œuvre.

Le Conseil d'État (section de l'intérieur) saisi d'un projet de décret portant transposition en droit interne des principes du code mondial antidopage et de diverses modifications relatives à la procédure disciplinaire lui donne un avis favorable. Ce projet modifie les dispositions réglementaires du code du sport relatives au traitement automatisé de données à caractère personnel visant à mettre en œuvre l'établissement du profil biologique des sportifs, ainsi que celles relatives aux modalités d'utilisation d'un algorithme prédictif pour les besoins de l'établissement de ce même profil biologique.

Le Conseil d'État considère, eu égard au caractère sensible des données médicales qui font l'objet d'un traitement pour l'établissement du profil biologique des sportifs, au grand nombre de sportifs concernés, ainsi qu'aux modalités de réalisation de ce traitement, au moyen d'un algorithme prédictif, et à ses finalités, notamment de sanction, que le traitement permettant l'établissement du profil biologique des sportifs impose de conduire l'analyse d'impact prévue par l'article 35 du règlement général sur la protection des données.

Si la réalisation de cette dernière n'est pas une modalité de la procédure consultative de la CNIL et ne conditionne pas la légalité du décret modifiant les dispositions réglementaires relatives à ce traitement, elle n'en est pourtant pas moins une obligation de fond s'imposant au responsable dudit traitement. Aussi le Conseil d'État attire-t-il l'attention du Gouvernement sur la nécessité pour le responsable du traitement de réaliser l'analyse d'impact dans les plus brefs délais.

Un traitement nécessaire à l'organisation d’un vote électronique pour l’élection des membres des chambres d’agriculture, eu égard, d’une part, à la nature des données collectées et analysées et, d’autre part, au fait que ces données portent sur un électorat d’environ trois millions de personnes, remplit les critères posés par le point b) du paragraphe 3 de l’article 35 du règlement (UE) n° 2016/679 du 27 avril 2016 (RGPD) pour caractériser les traitements à grande échelle de données sensibles.

Par suite, sa mise en œuvre doit être précédée d’une analyse d’impact prévue par ces stipulations. Cette obligation d’effectuer une analyse d’impact est d’application immédiate et directe. Le paragraphe 4 du même article 35 dispose que : « L’autorité de contrôle établit et publie une liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise conformément au paragraphe 1. L’autorité de contrôle communique ces listes au comité visé à l’article 68 ». Toutefois, cette liste ne saurait être regardée comme une mesure nationale d’application nécessaire à l’entrée en vigueur de l’obligation faite au responsable du traitement d’effectuer une analyse d’impact qui découle directement du point b) du paragraphe 3 de l’article 35 du règlement.

La circonstance que le responsable du traitement (le ministre de l’agriculture) n’ait pas, au moment où le Conseil d’État (section des travaux publics) a examiné un projet de décret comportant la mise en œuvre de traitements relevant de la procédure prévue au b) du paragraphe 3 de l’article 35 du règlement (UE) n° 2016/679 du 27 avril 2016 (RGPD), achevé l’analyse d’impact qui lui incombe ne faisait obstacle ni à cet examen, ni à ce que le Conseil d’État lui donnât un avis favorable, dès lors qu’en vertu du paragraphe 1 de cet article, cette analyse doit être effectuée « avant le traitement », c’est‑à‑dire avant la mise en œuvre concrète de celui‑ci.