Le réglement général sur la protection des données (RGPD) prévoit que les responsables du traitement doivent réaliser une analyse d’impact relative la protection des données (AIPD) lorsque le traitement présente un risque élevé pour la protection des données.
Une AIPD est un processus conçu pour (i) décrire le traitement, (ii) évaluer la nécessité et la proportionnalité d’un traitement et (iii) aider à gérer les risques pour les droits et libertés des personnes physiques résultant du traitement des données à caractère personnel. S’il s’avère impossible d’atténuer les risques, il est parfois possible de consulter les autorités de contrôles (ex : la CNIL).
L’objectif de cet article est de comprendre comment et dans quels cas il est nécessaire de réaliser une AIPD.
1.Qui doit effectuer une AIPD ? Qui devrait être impliqué et à quel moment conduire une AIPD ?
Selon les dispositions du RGPD, il appartient aux responsables du traitement d’effectuer une AIPD lorsque leurs activités de traitement de données le nécessitent.
Une AIPD devrait être effectuée avec l’aide du délégué à la protection des données (voir les missions de DPO) lorsque le responsable du traitement en a nommé un et le sous-traitant si un sous-traitant est impliqué dans le traitement de données concerné.
L’AIPD doit être réalisée avant la mise en oeuvre du traitement concernée.
2. Dans quels cas effectuer une AIPD ?
2.1. Selon le règlement (RGPD)
L’article 35 du RGPD prévoit qu’une AIPD doit être réalisée lorsqu’un traitement de données est susceptible d’entraîner un risque élevé pour les droits et libertés des personnes physiques et plus particulièrement lors de l’utilisation nouvelles technologies.
Une AIPD sera notamment requise lorsque le traitement implique :
• L’ évaluation systématique et approfondie des aspects personnels relatifs aux personnes physiques, y compris le profilage et sur la base de laquelle sont fondées des décisions destinées à produire des effets juridiques ou qui affectent de manière significative les personnes concernées (ex : scoring bancaire ) ;
• Traitement à grande échelle de catégories spéciales de données ou concernant des condamnations et des infractions pénales ;
• Surveillance systématique d’une zone accessible au public à grande échelle.
2.2. Recommandations des autorités pour identifier les traitements devant faire l’objet d’une AIPD (les 9 critères)
Les autorités chargées de la protection des données de chaque État membre devraient publier une liste des traitements des données devant faire l’objet d’une AIPD (voir ici pour la CNIL).
La liste peut varier d’un pays à l’autre, mais le CEPD a publié une recommandation fournissant une liste de 9 critères permettant de déterminer quels traitements sont, en principe, soumis à une analyse.
Selon ce dernier, en règle générale si un traitement de données répond à au moins deux des critères listés ci-après, une AIPD devrait être réalisée.
Il convient de noter qu’il ne s’agit pas d’une règle stricte et que dans certains cas, un traitement répondant à un seul critère peut présenter un risque élevé tandis qu’un traitemnet répondant à plus de deux critères pourrait ne pas présenté de risque élevé.
Afin de déterminer quand un traitement est susceptible d’entraîner un risque élevé, les critères suivants devraient être pris en considération :
• Évaluation et notation (performance au travail, symposion économique, préférence personnelle, localisation, etc.) ;
• Prise de décision automatisée ayant des effets juridiques ou similaires (en particulier si elle entraîne l’exclusion ou la dissémination envers les individus) (des explications supplémentaires seront fournies dans les guileines G29 sur le profilage) ;
• Suivi systématique de la personne concernée ;
• Données sensibles (voir articles 9 et 10 du GDPR): elles doivent être traitées systématiquement ou à grande échelle ;
• Données traitées à grande échelle (nombre de personnes concernées, volume de données, durée de l’activité de traitement, étendue géographique) ;
• Ensembles de données qui ont été combinés ou croisés (d’une manière qui dépasse les attentes raisonnables de la personne concernée)Données concernant les personnes vulnérables (déséquilibre accru entre la personne concernée et le responsable du traitement des données: employés, enfants, population nécessitant une protection spéciale (malades mentaux, demandeurs d’asile, personnes âgées, patients …) ;
• Utilisation innovante ou application de solutions techonologiques ou organisationnelles ;
• Transfert de données en dehors de l’Union européenne: en prenant en compte le pays tiers, la possibilité de transferts ultérieurs ou la possibilité de transferts en fonction de dérogations ;
• Le traitement peut exclure les personnes concernées de l’exercice d’un droit ou des bénéfices d’un service ou d’un contrat.
2.3. Exceptions à l’obligation de réaliser une AIPD
Il n’est pas nécessaire de réaliser une AIPD dans les cas suivants :
• Faible probabilité que le traitement de données engendre un risque élevé pour les droits et libertés des personnes physiques ;
• Le traitement est très similaire à un traitement pour lequel un AIPD a été effectué ;
• Les opérations de traitement ont une base légale dans l’UE et une AIPD a été réalisée dans le cadre de l’adoption de cette base légale ;
• Le traitement est inclus dans la liste optionnelle à publier par chaque Autorité de protection des données (il peut contenir tout paquet de conformité, autorisation générale déjà donnée par les autorités au niveau national). Voir ici la liste des traitements exemptés par la CNIL en France ;
• Les traitements mis en œuvre avant mai 2018 si aucun changement n’a été mise en oeuvre ou qu’il n’y a pas de changement au niveau du risque (une AIPD est toutefois recommandé). Cependant, il est fortement recommandé d’effectuer une AIPD notamment en cas de modification du risque que représente les opérations de traitement et, dans tous les cas, il devrait être revu au minimum tous les trois ans selon le G29 (ancien CEPD).
3. Contenu et portée de l’AIPD
3.1. En théorie, ll incombe au responsable du traitement de déterminer l’importance et la forme de l’AIPD. En effet, il peut réaliser une AIPD pour un ensemble de traitements similaires présentant le même type de risques.
Dans tous les cas, l’AIPD devrait inclure a minima les informations suivantes :
• Description systématique des opérations de traitement envisagées ;
• Les objectifs et, le cas échéant, l’intérêt légitime poursuivi par le responsable de traitement/ nécessité et proportionnalité du traitement ;
• Évaluation des risques pour les droits et libertés des personnes concernées ;
• Mesures envisagées pour atténuer les risques, y compris les garanties, les mesures de sécurité et les mécanismes pour assurer la protection des données personnelles et pour démontrer la conformité au RGPD.
3.2. En pratique, l’AIPD se décompose en trois parties :
• le contexte (description des traitements, des technologies/appareils utilisés etc.) ;
• la conformité juridique aux principes de la protection des données ;
• l’évaluation des risques (de sécurité) (identification des risques et des mesures envisager pour atténuer ces risques).
Dans la partie relative à l’évaluation des risques (de sécurité) des données, la CNIL attendra que les standards de sécurité adaptés au risque soit mise en place. A cet effet, on peut remarquer que les autorités sont assez exigentes dans le cadre des décisions relatives aux violations des données.
La partie « conformité juridique » doit permetre démontrer la conformité du traitement aux différents principes de la protection des données. Il ne s’agit donc pas d’atténuer des risques de non-conformité.
3.3. Modèles d’AIPD
Voici des liens vers des modèles d’AIPD publié par des autorités de contrôle :
DE: Standard Data Protection Model, V.1.0 – Version d’évaluation, 2016.
ES: Agencia española de la protecion de los datos (AGPD), 2014.
FR: Évaluation des incidences sur la vie privée (PIA), Commission Nationale de l’informatique et des libertés (CNIL), 2015, ainsi que son logiciel à télécharger pour effectuer des AIPD.
Royaume-Uni: Réalisation d’un code de pratique sur l’évaluation des impacts sur la vie privée, Commissariat à l’information (OIC), 2014.
4. Que faire lorsqu’il n’est pas possible d’atténuer les risques identifiés (consultation préalable)?
Lorsque la conclusion d’une AIPD indique que le responsable de traitement ne peut pas atténuer les risque élevés par des mesures appropriées en termes de technologie disponible et de coûts de mise en œuvre, une consultation de l’autorité de contrôle devrait avoir lieu avant la mise en oeuvre du traitement.
Une consultation préalable peut également être requise en vertu de la législation des États membres lorsque le responsable de traitement effectue un traitement de données dans l’intérêt public, y compris la protection sociale et la santé publique.
En pratique, nous pourrions penser que tout responsable de traitemnet qui ne peut pas atténuer un risque élevé pour la protection des données personnelles traitées ne devrait pas mettre en oeuvre le traitement des données. Par conséquent, la consultation préalable devrait rester très rare en dehors du périmètre des exigences légales spécifiques ou de l’utilisation de nouvelles technologies.
CONTACT
Pour toute question, n’hésitez pas à contacter Arnaud Blanc, Avocat
Cette publication est également disponible en en_GB.