Les lignes directrices du CEPD sur les analyses d'impact en date du 4 octobre 2017, comportent une liste de neuf critères pour déterminer si une opération de traitement est susceptible d'engendrer « un risque élevé ». Ces critères sont les suivants : - l'existence d'une évaluation ou d'un scoring ; - une prise de décision automatisée produisant des effets juridiques ou des effets similaires significatifs ; - une surveillance systématique ; - des données sensibles ou données à caractère hautement personnel ; - des données traitées à grande échelle ; - des croisements ou combinaison de données ; - des données concernant des personnes vulnérables ; - l'utilisation innovante ou application de nouvelles solutions technologiques ou organisationnelles ; - les traitements en eux-mêmes qui « empêchent [les personnes concernées] d'exercer un droit ou de bénéficier d'un service ou d'un contrat » (art. 22 et considérant 91). Il est également prévu que les autorités de contrôle établissent et publient une liste des opérations de traitement pour lesquelles cette analyse est requise. Cette liste doit être communiquée au CEPD (v. Fiche 17). Le RGPD offre également la possibilité aux autorités de contrôle d'établir une liste des traitements non soumis à analyse d'impact. Si ces listes « comprennent des activités de traitement liées à l'offre de biens ou de services à des personnes concernées ou au suivi de leur comportement dans plusieurs États membres ou peuvent affecter sensiblement la libre circulation des données à caractère personnel au sein de l'Union », elles devront être soumises au mécanisme de contrôle de la cohérence (v. Fiche 17). La liste des traitements devant faire l'objet d'une analyse d'impact a donné lieu à une délibération de la CNIL n° 2018-327 du 11 octobre 2018. Cette liste a été élaborée sur la base des critères identifiés par le CEPD dans ses lignes directrices. Une quinzaine de types d'opérations de traitements y figurent, notamment les traitements ayant pour finalité de surveiller de manière constante l'activité d'employés, la gestion des alertes et des signalements en matière professionnelle ou encore les traitements de profilage faisant appel à des données provenant de sources externes. La CNIL a également publié le 12 septembre 2019 une liste des traitements pour lesquels une analyse d'impact n'est pas requise (délibération n°2019-118). Figurent notamment sur cette liste les traitements de gestion de la relation fournisseurs ou les traitements destinés à la gestion des Comités d'entreprise. 38