En novembre 2018 la Cnil a publié, comme le RGPD le lui invite, une liste de traitements qui font obligatoirement l’objet d’un PIA. Cette liste n’est pas sans conséquence pour de nombreuses entreprises.

Rappelons que pour qu’un PIA s’impose, le traitement doit « rencontrer » deux critères sur les 9 dégagés par le G29.

En effet si cette liste vise essentiellement des responsables de traitements sectoriels (santé, banque, …), elle vise aussi toutes les entreprises notamment celles qui ont mis en œuvre des procédures d’alerte interne.

Hier la Cnil a publié une seconde liste : celle des traitements qui ne sont pas soumis à PIA.