I) Généralités
La présente liste des opérations concernant le traitement des données personnelles, pour lesquels une analyse d’impact relative à la protection des données est requise, a été adoptée par la Commission de la protection des données personnelles sur le fondement de l’art. 35, alinéa 4 du Règlement (UE) 2016/679, suite à un avis du Comité européen de la protection des données, communiqué dans le cadre du mécanisme de concertation.
La liste n’est pas exhaustive et peut être actualisée le cas échéant, selon les modalités de son adoption.
L’objectif de cette liste est d’aider les responsables du traitement à respecter leur obligation au titre de l’art. 35, alinéa 1 du Règlement (UE) 2016/679 de procéder à une analyse de l’impact toujours quand un certain type de traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, y compris lorsque les opérations concernant le traitement ne sont pas indiqués sur la présente liste.
Cette liste a été rédigée sur la base des Orientations relatives à l’analyse de l’impact sur la protection des données et la détermination de la probabilité pour un traitement d’« engendrer un risque élevé » pour les objectifs du Règlement (UE) 2016/679, adoptées par un Groupe de travail au titre de l’art. 29 le 4 avril 2017, dernièrement revues et adoptées le 4 octobre 2017 et validées par le Comité européen de la protection des données le 25 mai 2018.
II) Types d’opérations de traitement pour lesquelles une analyse de l’impact sur la protection des données est requise
Les responsables du traitement, qui ont un établissement principal unique et celui-ci est situé sur le territoire de la République de Bulgarie, doivent effectuer une analyse de l’impact sur la protection des données personnelles traitées par eux dans tous les cas lorsqu’un type de traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées, y compris dans les cas relevant de l’art. 35, alinéa 3 du Règlement (UE) 2016/679, ainsi que dans les cas des types d’opérations de traitement suivants :
1. Traitement à grande échelle de données biométriques aux fins de l’identification unique d’une personne physique, qui n’est pas occasionnel.
2. Traitement de données génétiques aux fins du profilage, produisant des effets juridiques concernant ou affectant la personne concernée de manière significative de façon similaire.
3. Traitement des données de géolocalisation aux fins du profilage, produisant des effets juridiques concernant ou affectant la personne concernée de manière significative de façon similaire.
4. Lorsque la communication d’informations à la personne concernée, au titre de l’art. 14 du Règlement (UE) 2016/679, se révèle impossible ou exigerait des efforts disproportionnés, ou lorsqu’elle est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement, lorsque cela est lié à un traitement à grande échelle des données.
5. Traitement des données personnelles par un responsable du traitement ayant son établissement principal hors de l’UE, lorsque son représentant désigné au sein de l’UE est situé sur le territoire de la République de Bulgarie.
6. Traitement régulier et systématique lorsque la communication d’informations au titre de l’art. 19 du Règlement (UE) 2016/679 par le responsable du traitement à la personne concernée s’avère impossible ou exigerait des efforts disproportionnés.
7. Traitement de données personnelles relatives aux enfants à des fins de services proposés directement au sein de la société de l’information.
8. Réalisation de migration de données depuis des technologies existantes vers de nouvelles technologies lorsque cela est lié à un traitement à grande échelle des données.