Le Règlement européen sur la Protection des Données (RGPD) qui entrera en application le 25 mai 2018 instaure un important outil de conformité pour les responsables de traitement : l’analyse d’impact relative à la protection des données (AIPD) ou Data Protection Impact Assessment (DPIA) en anglais. Cette analyse devra être menée obligatoirement dès lors qu’un traitement présente un « risque élevé » pour les droits et libertés des individus.

La CNIL a d’ailleurs développé un logiciel open source pour faciliter la conduite et la formalisation d’AIPD, qu’elle a mis en ligne à la disposition des responsables de traitement le 22 novembre 2017. Le logiciel :

> permet de réaliser une AIPD décrivant en détail le traitement ou l’application au moyen de champs à compléter. Pour chaque champ, le logiciel fournit une aide contextuelle et une base de connaissance accessibles à tout moment pour guider la personne qui complète l’analyse sur les informations à renseigner.

> offre également des outils de visualisation pour mieux évaluer et suivre l’évolution des risques.

> permet enfin d’avoir une vue d’ensemble sur le plan d’action et les mesures correctives à mener suite aux résultats de l’AIPD s’il apparait que celle-ci est à améliorer.

1- Qu’est-ce qu’une analyse d’impact relative à la protection des données ?

L’analyse d’impact :

> consiste donc à faire l’étude d’un traitement : en décrivant ses caractéristiques afin de s’assurer de sa nécessité et de sa proportionnalité par rapport à la finalité envisagée, mais également du respect des principes énoncés au sein du RGPD (durée de conservation, mesures de sécurité, information et droits des personnes, qualité des données collectées).

> permet d’évaluer les risques pour les droits et libertés des personnes concernées par le traitement et ainsi déterminer les mesures adoptées ou à adopter pour y faire face.

L’AIPD est donc un véritable instrument d’ « accountability » pour les responsables de traitement.

2- Quand mener une analyse d’impact relative à la protection des données ?

L’analyse d’impact doit être effectuée avant le traitement, et de préférence le plus en amont possible conformément au principe de privacy by design.

Néanmoins, la réalisation d’une AIPD n’est pas une activité ponctuelle. En effet, l’AIPD doit être mise à jour tout au long du cycle de vie du traitement et corrigée régulièrement pour s’assurer que le niveau de risque reste acceptable en cas de changements dans les modalités de mise en œuvre du traitement.

Dans quels cas une AIPD est-elle obligatoire ?

Tous les traitements ne nécessitent cependant pas la mise en œuvre d’une AIPD. En effet, le RGPD n’impose la conduite d’une analyse d’impact que lorsque que le traitement est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques

Pour donner une vision plus concrète des traitements qui nécessitent une AIPD en raison d’un risque élevé, le Groupe de travail de l’article 29 (ou « G29 »), dans ses lignes directrices sur les AIPD,a dressé une liste de neuf cas/critères qui doivent être pris en compte dans la décision de mener une AIPD.

 

Exemples de traitements devant faire l’objet d’une analyse d’impact selon le G29 :

> Traitement par un hôpital des données génétiques et des données de santé de ses patients ;

> Surveillance systématique par une entreprise des activités de ses employés, y compris leur poste de travail, leur activité sur internet, etc ;

> Collecte de données sur les réseaux sociaux publics dans le but de générer des profils ;

> Création par une institution d’une base de données spécialisée dans la notation de crédit ou « antifraude » au niveau national.

Il convient également de noter que les autorités de contrôle établiront et publieront des listes de types d’opérations pour lesquelles elles estiment qu’une AIPD est obligatoire. Cette liste sera ensuite transmise au Comité Européen pour la Protection des Données (CEPD), qui aura pour mission de veiller à la cohérence, dans la mesure du possible, des listes des différentes autorités de contrôle.

Au vu des critères énoncés ci-dessus, et sous réserve de la modification de la loi Informatique et Libertés, il est vraisemblable que la CNIL reprenne sa doctrine sur les traitements nécessitant une autorisation de la Commission pour établir la liste des traitements dans lesquels l’AIPD sera obligatoire.

3- Qui intervient lors d’une analyse d’impact relative à la protection des données ?

Concrètement, l’analyse peut être menée par quelqu’un d’interne ou d’externe à l’organisation mais en dernier ressort c’est le responsable de traitement qui reste responsable de la bonne conduite de cette tâche.

Dans le cadre d’un AIPD, le responsable de traitement :

> demande obligatoirement conseil au Délégué à la Protection des Données (DPD) si un tel délégué a été désigné. Les décisions du responsable de traitement et les conseils du DPD devront être documentés. Le DPD devra par ailleurs vérifier que l’AIPD a bien été exécutée.

> doit également demander l’avis des personnes concernées (ou de leurs représentants) sur le traitement, ou à défaut le justifier (démarche inappropriée, irréalisable, confidentialité de plan d’affaires, etc). Le G29 donne des exemples de modalités par lesquelles les avis des personnes concernées peuvent être recueillis (sondage, enquête, étude générique, questionnaire envoyé au personnel, enquêtes auprès de futurs clients, etc) en précisant que le responsable de traitement doit veiller à disposer d’une base légale pour collecter ces avis. Il précise également, que (i) dans les cas où la décision finale du responsable de traitement diffère de l’avis des personnes concernées, (ii) ou dans les cas où il a décidé de ne pas recueillir l’avis des personnes concernées, le responsable de traitement doit documenter les raisons de sa décision.

Si le traitement fait intervenir un sous-traitant, celui-ci doit fournir son aide et les informations nécessaires au responsable de traitement pour la réalisation de l’AIPD (cette assistance devra d’ailleurs être imposée au sous-traitant dans le cadre du contrat qui le lie au responsable de traitement, conformément à l’article 28.3.f du RGPD).

Enfin, les métiers (RSSI, maitrise d’ouvrage, maitrise d’œuvre) peuvent également participer à l’élaboration du processus de l’analyse en fournissant les éléments adéquats.

4- Quand convient-il de consulter l’autorité de contrôle ?

Si à l’issue de l’AIPD, il apparait que le traitement fait encore peser des risques résiduels élevés sur les droits et libertés des personnes concernées, le responsable de traitement devra alors consulter l'autorité de contrôle qui pourra s'opposer à la mise en œuvre du traitement.

Un risque résiduel peut être considéré comme élevé notamment :

> Lorsqu’il exposerait les personnes à des conséquences importantes, voire irréversibles qu’elles ne pourraient pas surmonter (ex : accès illégitime à leurs données qui mettrait en péril leur vie ou leur situation financière, lorsque le traitement pourrait entrainer une mise à pied, etc) ;

> Lorsqu’il semble évident que le risque se concrétisera (ex : impossible de réduire le nombre de personnes accédant aux données) ;

> Lorsque le responsable de traitement ne parvient pas à identifier des mesures suffisantes pour réduire les risques à un niveau acceptable.