CE23 mai 2019CE, Section de l'administration (section de l'intérieur), 23 mai 2019, Avis, n° 396435, Projet de décret portant création d'un traitement automatisé relatif à la gestion des ressources humaines de certains agents de l'État(source)
Décret créant un traitement relatif à la gestion des ressources humaines d'agents de l'État – Traitement établissant des profils de personnes physiques – 1) Analyse d'impact relative à la protection des données – 2) Ouverture du traiteme nt à d'autres services ou institutions – Élaboration de l'étude d'impact pendant la préparation du décret – 3) Caractère suffisant de l'analyse d'impact préexistante – Conditions – Obligation de compléter l'analyse d'impact en cas d'adaptation de la mise e n œuvre
Saisi d'un projet de décret portant création d'un traitement au tomatisé de données à caractère personnel relatif à la gestion des ressources humaines d certains agents de l'État, le Conseil d'État constate que ce traitement a fait l'objet, comme il le devait, d'une analyse d’impact relative à la protection des données.
1) Il considère en premier lieu que la réalisation préalable de cette analyse d'impact est exigée par les dispositions du paragraphe 1 de l'article 35 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (dit RGPD) dans la mesure où ce traitement permet de procéder à une « évaluation systématique et approfondie d'aspects personnels fondée sur un traitement automatisé et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l'égard d'une personne physique ou l'affectant de manière significative de façon similaire » au sens du a) du paragraphe 3 du même article.
Il relève à cet égard que les traitements établissant des profil(s) de personnes physiques à des fins de gestion des ressources humaines figurent sur la liste des types d'opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données est requise, annexée à la délibération n° 2018‑327 du 11 octobre 2018 de la CNIL portant adoption de cette liste.
2) En deuxième lieu, dans la mesure où le projet de décret ouvre à des services ou institutions distincts la possibilité de recourir à ce traitement dans des conditions similaires, la dernière phrase du paragraphe 1 de l'article 35 du RGPD, selon laquelle « une seule et même analyse peut porter sur un ensemble d'opérations de traitement similaires qui présentent des risques élevés similaires », a logiquement conduit à élaborer cette analyse d'impact lors de la préparation du projet de décret.
3) En troisième lieu, lorsque des services ou institutions décideront d'y recourir sans adapter les modalités de mise en œuvre de ce traitement, l'analyse d'impact réalisée lors de la préparation du projet de décret pourra être regardée comme suffisante. Toutefois, compte tenu de la diversité de ses caractéristiques et des modes d'organisation des services ou institutions susceptibles de recourir au traitement en cause et des adaptations qu'ils décident de lui apporter en fonction de leurs besoins, il appartiendra à chaque responsable, préalablement à la mise en œuvre du traitement, de compléter le cas échéant l'analyse d'impact produite initialement par l'autorité compétente, en fonction des spécificités propres à cette mise en œuvre.