Diaporama

Actualités

Les avocats

L'analyse d'impact relative a la protection des données (AIPD) prévue par le RGPD

L'analyse d'impact relative a la protection des données (AIPD) prévue par le RGPD

Auteur : Me Jean-Baptiste TRAN-MINH
Publié le : 04/05/2023 04 mai mai 05 2023

Le RGPD prévoit que les autorités de protection des données doivent établir une liste des traitements pour lesquels une analyse d'impact relative à la protection des données est requise.

L’article 35-1 du Règlement Général sur la Protection des Données (RGPD) prévoit qu'une analyse d'impact relative à la protection des données (AIPD) doit être menée quand un traitement est "susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées".

Exemples :

  • Traitements de données sur la santé mises en œuvre par les établissements de santé.
  • Traitements établissant des profils de personnes physiques (évaluation ou notation).
  • Traitements ayant pour finalité de surveiller l’activité de salariés.
  • Traitements de données de profilage.
  • Traitements de données de localisation à large échelle…
Dans une délibération n°2018-326 du 11 octobre 2018, la Commission nationale de l'informatique et des libertés (CNIL) a adopté les lignes directrices sur l'analyse d'impact relative à la protection des données (AIPD), telle que prévue par le RGPD.

Le RGPD donne lui-même 3 types de traitements susceptibles de présenter un risque élevé :
  1. L'évaluation systématique et approfondie d'aspects personnels fondés sur un traitement automatisé et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l'égard d'une personne physique ou l'affectant de manière significative de façon similaire.
  2. Le traitement à grande échelle de données sensibles ou relatives à des condamnations pénales et des infractions.
  3. La surveillance systématique à grande échelle d'une zone accessible au public.
Au-delà de ces 3 traitements, le Comité européen à la protection des données (CEPD) a identifié 9 critères permettant de caractériser un traitement susceptible d'engendrer un risque élevé :
  1. Données traitées à grande échelle ;
  2. Données sensibles (origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, données génétiques ou de santé, données biométriques et données concernant la vie ou l'orientation sexuelle) ou données à caractère hautement personnel (données relatives à des communications électroniques, données de localisation, données financières, etc…) ;
  3. Données concernant des personnes vulnérables (patients, personnes âgées, enfants, etc…) ;
  4. Croisement ou combinaison de données ;
  5. Evaluation/scoring (y compris le profilage) ;
  6. Prise de décision automatisée avec un effet juridique ou similaire ;
  7. Surveillance systématique de personnes ;
  8. Traitement pouvant exclure du bénéfice d'un droit, d'un service ou d'un contrat ;
  9. Utilisation innovante ou application de nouvelles solutions technologiques ou organisationnelles.
La CNIL considère, de manière générale, qu'un traitement qui rencontre au moins deux des critères mentionnés ci-dessus doivent faire l'objet d'une AIPD. Il est cependant possible de s'écarter de cette recommandation de la CNIL dans certains cas de figure.

Enfin, l'article 35-4 du RGPD ayant demandé aux autorités nationales de contrôle d'établir une liste des traitements pour lesquels une AIPD est requise, la CNIL a établi cette liste en annexe de sa délibération n°2018-327 du 11 octobre 2018.

Cette liste est appelée à être régulièrement revue par la CNIL selon son appréciation des "risques élevés" que peuvent présenter certains traitements.

Il faut par conséquent se reporter à cette annexe pour retrouver la liste précise des différents types d'opérations de traitements pour lesquels une AIPD est requise.

L'AIPD est un outil important pour la responsabilisation des organismes : elle les aide non seulement à construire des traitements de données respectueux de la vie privée mais aussi à démontrer leur conformité au RGPD.

Elle est obligatoire pour les traitements susceptibles d'engendrer des risques élevés. Cette obligation est d'ailleurs pénalement sanctionnée avec un risque d'amende très élevé (10 millions d'euros ou dans le cas d'une entreprise jusqu'à 2% du chiffre d'affaires annuel mondial total de l'exercice précédent ; le montant le plus élevé étant retenu).
Un "risque sur la vie privée" est un scénario décrivant :
  • Un évènement redouté (atteinte à la confidentialité, la disponibilité ou à l'intégrité des données et ses impacts potentiel sur les droits et libertés des personnes),
  • Toutes les menaces qui permettraient qu'il survienne.
Ce risque sur la vie privée est estimé en termes de gravité et de vraisemblance.

La gravité doit être évaluée pour les personnes concernées et non pour l'organisme ou l'entreprise.

Une analyse d'impact peut porter sur un seul traitement ou sur un ensemble de traitements similaires.

Exemples :
  • Des collectivités qui mettent en place un système de vidéo-surveillance similaire pourraient effectuer une seule analyse d'impact portant sur ce système, même si celui-ci est ultérieurement mis en œuvre par des responsables de traitement différents.
  • Un opérateur ferroviaire (responsable de traitement unique) pourrait effectuer une seule analyse d'impact sur le dispositif de la surveillance vidéo déployée dans plusieurs enceintes ferroviaires.
L'AIPD doit être menée avant la mise en œuvre du traitement.

Elle doit être démarrée le plus en amont possible et sera mise à jour tout au long du cycle de vie du traitement.

Il est à noter que la dispense d'obligation de réaliser une AIPD, pour les traitements existants mis en œuvre avant le 25 mai 2018, a été limitée à une période de 3 ans.

A l'issue de ce délai, les responsables de traitement doivent effectuer une telle étude si le traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes.

C'est donc le responsable de traitement qui est tenu par l'obligation de s'assurer de la conformité de son traitement au RGPD.

S'il a désigné un délégué à la protection des données, il lui demande conseil et le charge de vérifier l'exécution de l'AIPD.

Si un sous-traitant intervient dans le traitement, il doit également fournir son aide et les informations nécessaires à la réalisation de l'AIPD.

La CNIL a diffusé des guides méthodologiques pour la réalisation d'une AIPD.

Si le traitement relève du RGPD, l'AIPD doit être transmise à la CNIL :
  • S'il apparait que le niveau de risque résiduel reste élevé (cas où la CNIL doit être consultée),
  • Quand la législation nationale d'un Etat membre l'exige.

Article rédigé par Maître Jean-Baptiste TRAN-MINH, Avocat Associé
 

Historique

<< < ... 3 4 5 6 7 8 9 ... > >>
Navigateur non pris en charge

Le navigateur Internet Explorer que vous utilisez actuellement ne permet pas d'afficher ce site web correctement.

Nous vous conseillons de télécharger et d'utiliser un navigateur plus récent et sûr tel que Google Chrome, Microsoft Edge, Mozilla Firefox, ou Safari (pour Mac) par exemple.
OK