Le réglement général sur la protection des données (RGPD) prévoit que les responsables du traitement doivent: 
– maintenir un registre détaillé de toutes leur activité de traitement de données à caractère personnel (voir ici pour plus de détails sur le registre); et
–  effectuer une évaluation d’impact sur la protection des données (AIPD) lorsque le traitement présente un risque élevé pour la protection des données.
Une AIPD est un processus conçu pour décrire le traitement, évaluer la nécessité et la proportionnalité d’un traitement et aider à gérer les risques pour les droits et libertés des personnes physiques résultant du traitement des données à caractère personnel.
1.Qui doit effectuer une AIPD ?

Selon les dispositions du RGPD, il appartient aux responsables du traitement d’effectuer un AIPD lorsque leurs activités de traitement de données le nécessitent.

Une AIPD devrait être effectuée avec l’aide du délégué à la protection des données (voir les missions de DPO) lorsque le responsable du traitement en a nommé un et le sous-traitant si un sous-traitant est impliqué dans le traitement de données concerné.

2. Quel traitement de données est soumis à une AIPD ?

2.1. selon le règlement (GDPR)

Tous les traitements de données ne sont pas soumis à une AIPD. L’article 35 du GDPR prévoit qu’une AIPD doit être effectuée lorsqu’un type de traitement peut entraîner un risque élevé pour les droits et libertés des personnes physiques et plus particulièrement lors de l’utilisation nouvelles technologies.

Il sera notamment requis dans les cas suivants:

Évaluation systématique et approfondie des aspects personnels relatifs aux personnes physiques qui repose sur le traitement automatisé, y compris le profilage et sur lesquelles les décisions sont fondées qui produisent des effets juridiques ou affectent de manière significative la personne physique (marquage, etc.)

Traitement à grande échelle de catégories spéciales de données ou concernant des condamnations et des infractions pénales

Surveillance systématique d’une zone accessible au public à grande échelle

Tout traitement de données effectué avant mai 2018 n’est pas soumis aux dispositions relatives aux AIPD. Cependant, il est fortement recommandé d’effectuer un AIPD car il devrait être effectué en cas de modification du risque représenté par les opérations de traitement et, dans tous les cas, il  devrait être revu au minimum tous les trois ans selon le G29 (ancien CEPD).

2.2. Recommandations des autorités

Les autorités chargées de la protection des données de chaque État membre devraient publier une liste des traitements des données devant faire l’objet d’une AIPD (voir ici pour la CNIL). La liste peut varier d’un pays à l’autre, mais le CEPD a publié une recommandation fournissant une liste de 9 critères permettant de déterminer quels traitements sont, en principe, soumis à une analyse. Selon le CEPD, en règle générale si un traitement répond à au moins deux des critères listés ci-après, une AIPD devrait être effectué.

Il convient de noter que ce n’est pas une règle stricte, parfois un seul critère peut être suffisant et dans d’autres cas un traitement répondant à plus de deux critères pourrait ne pas représenté de risque très élevés.

Afin de déterminer quand un traitement risque d’entraîner un risque élevé, les critères suivants devraient être pris en considération:

  • Évaluation et notation (performance au travail, symposion économique, préférence personnelle, localisation, etc.) ;
  • Prise de décision automatisée ayant des effets juridiques ou similaires (en particulier si elle entraîne l’exclusion ou la dissémination envers les individus) (des explications supplémentaires seront fournies dans les guileines G29 sur le profilage) ;
  • Suivi systématique de la personne concernée ;
  • Données sensibles (voir articles 9 et 10 du GDPR): elles doivent être traitées systématiquement ou à grande échelle ;
  • Données traitées à grande échelle (nombre de personnes concernées, volume de données, durée de l’activité de traitement, étendue géographique) ;
  • Ensembles de données qui ont été combinés ou croisés (d’une manière qui dépasse les attentes raisonnables de la personne concernée)Données concernant les personnes vulnérables (déséquilibre accru entre la personne concernée et le responsable du traitement des données: employés, enfants, population nécessitant une protection spéciale (malades mentaux, demandeurs d’asile, personnes âgées, patients …) ;
  • Utilisation innovante ou application de solutions techonologiques ou organisationnelles ;
  • Transfert de données en dehors de l’Union européenne: en prenant en compte le pays tiers, la possibilité de transferts ultérieurs ou la possibilité de transferts en fonction de dérogations ;
  • Le traitement peut exclure les personnes concernées de l’exercice d’un droit ou des bénéfices d’un service ou d’un contrat.

2.3. Exceptions aux règles de mise en oeuvre d’une AIPD

Il n’est pas nécessaire d’effectuer une AIPD dans les cas suivants :

  • La probabilité est faible pour que le traitement de données engendre un risque élevé pour les droits et libertés des personnes physiques ;

  • Le traitement est très similaire à un traitement pour lequel un AIPD a été effectué ;

  • Les opérations de traitement ont une base légale dans l’UE et un AIPD a été réalisé dans le cadre de l’adoption de cette base légale ;

  • Le traitement est inclus dans la liste optionnelle à publier par chaque Autorité de protection des données (il peut contenir tout paquet de conformité, autorisation générale déjà donnée par les autorités au niveau national). Voir ici la liste des traitements exemptés par la CNIL en France.

  • Les traitements mis en œuvre avant mai 2018 si aucun changement n’a été mise en oeuvre ou qu’il n’y a pas de changement au niveau du risque (une AIPD est toutefois recommandé).
3. Contenu et portée de l’évaluation de l’impact de la vie privée:

Le responsable du traitement peut effectuer une analyse unique pour un ensemble de traitements similaires présentant le même type de risques.

Il lui incombe également de déterminer l’importance et la forme de l’AIPD, mais celle-ci devrait inclure a minima les informations suivantes:

  • Description systématique des opérations de traitement envisagées
  • Les objectifs et, le cas échéant, l’intérêt légitime poursuivi par le responsable de traitement/ nécessité et proportionnalité du traitement
  • Évaluation des risques pour les droits et libertés des personnes concernées
  • Mesures envisagées pour traiter les risques, y compris les garanties, les mesures de sécurité et les mécanismes pour assurer la protection des données personnelles et pour démontrer la conformité au RGPD.

Voici des liens vers des modèles d’AIPD publié par des autorités de contrôle :

DE: Standard Data Protection Model, V.1.0 – Version d’évaluation, 2016.

ES: Agencia española de la protecion de los datos (AGPD), 2014. 

FR: Évaluation des incidences sur la vie privée (PIA), Commission Nationale de l’informatique et des libertés (CNIL), 2015, ainsi que son logiciel à télécharger pour effectuer des AIPD.

Royaume-Uni: Réalisation d’un code de pratique sur l’évaluation des impacts sur la vie privée, Commissariat à l’information (OIC), 2014.

4.Que faire lorsqu’il n’est pas possible d’atténuer le risque  (consultation préalable)

Lorsqu’une évaluation d’impact sur la protection des données indique que le traitement impliquent un risque élevé que le responsable de traitement ne peut pas atténuer par des mesures appropriées en termes de technologie disponible et de coûts de mise en œuvre, une consultation de l’autorité de contrôle devrait avoir lieu avant la mise en oeuvre du traitement.

De plus, une consultation préalable peut être requise en vertu de la législation des États membres lorsque le responsable de traitement effectue un traitement de données dans l’intérêt public, y compris la protection sociale et la santé publique.

En pratique, nous pourrions penser que toute personne qui ne peut pas atténuer un risque élevé pour la protection des données personnelles traitées ne devrait pas commencer à effectuer le traitement des données. Par conséquent, la consultation préalable devrait rester très rare en dehors du périmètre des exigences légales spécifiques ou de l’utilisation de nouvelles technologies.

Partage

Analyse d’impact relatives à la protection des données (AIPD)
Étiqueté avec :        

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *