Le règlement général relatif à la protection des données à caractère personnel (RGPD) impose au responsable de traitement de réaliser, pour certains traitements, des analyses d’impact sur la protection des données (AIPD) afin de s’assurer de la conformité du traitement aux principes de protection des données. Ces analyses font partie intégrante de la documentation nécessaire à la preuve de la conformité.
En cas de non respect de ces obligations, la sanction maximale prévue est 10 000 000 euros ou 2% du CA annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu.
Ce guide explique ce qu’est une analyse d’impact sur la protection des données, dans quel cas il faut en réaliser une et comment celle-ci doit être réalisée.
- Définition AIPD
- Risque sur la vie privée
- Critères de réalisation
- Quand réaliser l'AIPD ?
- Qui réalise l'AIPD ?
- Quel contenu ?
- Comment faire ?
AIPD Définition
L'AIPD (Analyse d'Impact relative à la Protection des Données) est une démarche systématique visant à évaluer les risques que peuvent présenter certains traitements de données personnelles pour la vie privée des individus. Elle est également appelée en anglais DPIA (Data Protection Impact Assessment).
L’analyse d’impact sur la protection des données est un mécanisme de conformité prévu par l’article 35 du RGPD.
L’analyse consiste à identifier et minimiser les risques d'atteinte aux droits et libertés des personnes concernées dans un traitement de données à caractère personnel.
L'AIPD se décompose en trois parties :
• Une description détaillée du traitement mis en œuvre, comprenant tant les aspects techniques qu’opérationnels ;
• L’évaluation, de nature plus juridique, de la nécessité et de la proportionnalité concernant les principes et droits fondamentaux (finalité, données et durées de conservation, information et droits des personnes, etc.) non négociables, qui sont fixés par la loi et doivent être respectés, quels que soient les risques ;
• L’étude, de nature plus technique, des risques sur la sécurité des données (confidentialité, intégrité et disponibilité) ainsi que leurs impacts potentiels sur la vie privée, qui permet de déterminer les mesures techniques et organisationnelles nécessaires pour protéger les données.
Risque sur la vie privée
Un « risque sur la vie privée » est un scénario décrivant :
• un événement redouté (atteinte à la confidentialité, la disponibilité ou l’intégrité des données, et ses impacts potentiels sur les droits et libertés des personnes) ;
• toutes les menaces qui permettraient qu’il survienne.
Il est estimé en termes de gravité et de vraisemblance. La gravité doit être évaluée pour les personnes concernées, et non pour l’organisme.
Une seule et même AIPD peut être utilisée pour évaluer plusieurs opérations de traitement similaires en termes de nature, de portée, de contexte, de finalités et de risques. Par exemple, plusieurs communes peuvent réaliser une seule et même AIPD pour un système de vidéoprotection utilisant la même technologie et ayant les mêmes finalités.
Critères de réalisation de l’AIPD
Une analyse d’impact doit être obligatoirement réalisée lors que le traitement entraine un risque élevé pour les droits et libertés des personnes concernées.
Par droits et libertés, il faut entendre non seulement le droit au respect de la vie privée mais également les autres droits fondamentaux, tels que la liberté de circulation, la non-discrimination, le droit à la vie etc.
En tout état de cause, il faut réaliser une AIPD dans les situations suivantes :
Soit le traitement envisagé figure dans la liste des types d’opérations de traitement (en annexe) pour lesquelles la CNIL (pour la France) a estimé obligatoire de réaliser une analyse d’impact relative à la protection des données.
Soit le traitement remplit au moins deux des neuf critères issus des lignes directrices du G29 :
- évaluation/scoring (y compris le profilage)
Par exemple, un traitement d’analyse des usages d’internautes afin de créer des profils comportementaux ou marketing.
- décision automatique avec effet légal ou similaire
Le traitement conduit à une décision automatisée avec effet légal sur la personne ou a pour objet d’aider à la décision ayant un effet légal sur une personne ou qui l’affecte de manière significative. Par exemple, le traitement conduit à une discrimination ou à l’exclusion. Si le traitement ne conduit que très peu d’effet, il ne sera pas concerné.
- surveillance systématique
Le traitement est utilisé pour observer, surveiller ou contrôler les personnes concernées. Les personnes ne peuvent pas se soustraire à ce traitement. Par exemple, la surveillance systématique sur les réseaux ou dans l’espace public.
- collecte de données sensibles ou données à caractère hautement personnel
Données sensibles (origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, données génétiques ou de santé, données biométriques et données concernant la vie ou l’orientation sexuelle) ou données à caractère hautement personnel (données relatives à des communications électroniques, données de localisation, données financières, etc) et données relatives à des condamnations pénales, infractions ou mesures de sûreté.
- collecte de données personnelles à large échelle
Il n’existe pas de seuil, applicable à toute situation, à partir duquel le traitement serait considéré comme mis en œuvre à « grande échelle ». Il faut prendre en compte le nombre de personnes concernées, le volume de données ou le spectre des données, la durée ou la permanence du traitement et l’étendue géographique du traitement. En pratique, il convient de prendre les mêmes critères que pour la désignation du DPO.
- croisement de données
Cela implique un croisement de données issues de traitements différents mis en œuvre par un ou plusieurs responsables de traitement qui outrepasserait les attentes raisonnables de la personne concernée. Autrement dit, à quel traitement la personne peut-elle s’attendre dans le contexte de la collecte des données ? Plus il sera inattendu ou surprenant, plus il dépassera les attentes raisonnables.
- personnes vulnérables (patients, personnes âgées, enfants, etc.)
Il s’agit des données relatives à des personnes qui se trouveraient dans une situation de déséquilibre accru dans la relation avec le responsable du traitement. Par exemple de données de patients, personnes âgées, enfant, demandeurs d’asile etc. Dans une certaine mesure, il peut s’agir de données relatives à des employés au regard du lien de subordination avec l’employeur.
- usage innovant (utilisation d’une nouvelle technologie)
L’usage d’une nouvelle technologie ou d’un usage innovant doit correspondre à quelque chose dont on maitrise peu ou pas les conséquences personnelles ou sociales et qu’on n’a pas assez de recul sur l’impact sur les personnes concernées. Par exemple, les applications de l’internet des objets ou la combinaison d’empreintes digitales et de reconnaissance faciale pour faire du contrôle d’accès.
- exclusion du bénéfice d’un droit/contrat
Les opérations qui conduisent à autoriser, modifier ou refuser l’accès à un service ou la conclusion d’un contrat. Par exemple, un outil de scoring dans le cadre d’un prêt bancaire.
Il également recommandé de prendre en compte le critère suivant :
Les transferts de données hors de l’UE : le transfert de données hors de l’Union européenne en prenant en considération le pays de destination, la possibilité de transferts ultérieurs (considérant 116 du RGPD).
Chaque autorité de contrôle dans l'UE a publié une liste d’opérations de traitement pour lesquelles une AIPD n’est pas obligatoire (voir liste de la CNIL en annexe). Cela concerne les traitements les plus courants, en particulier pour les entreprises de moins de 250 salariés.
Une AIPD n’est pas non plus requise si le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable de traitement est soumis, ou nécessaire à l'exercice d'une mission de service public confié au responsable de traitement et qu’une AIPD a été réalisée par l’autorité publique.
Quand réaliser l’AIPD ?
L’AIPD doit être réalisée dans la mesure du possible avant la mise en œuvre du traitement. En effet, elle permet d’anticiper les mesures à prendre pour assurer la conformité au RGPD.
La meilleure pratique est de la commencer au stade du projet de traitement. Par exemple, en cas d’installation d’un système de vidéosurveillance nécessitant une AIPD (surveillance systématique de personnes vulnérables par exemple), il faut la démarrer avant l’intervention de l’installateur et effectuer la démarche avec lui.
Qui réalise l’AIPD ?
Le sous-traitant a l’obligation d’assister le responsable du traitement pour réaliser l’AIPD.
L’AIPD doit être réalisée par le responsable du traitement (ou pour son compte). En pratique, il faudra impliquer les personnes suivantes :
- Le DPO
- L’équipe métier (la maîtrise d'ouvrage et la maîtrise d'œuvre en fonction du contexte)
- Le RSSI
- Les sous-traitants intervenant dans le traitement
- Le cas échéant, en cas de complexité, un conseil extérieur
- Le CSE en cas de traitements relatifs aux salariés
- Les personnes concernées via des enquêtes publiques le cas échéant
Les actions des personnes impliquées doivent être documentées dans l’analyse.
Contenu de l’AIPD
L’analyse doit contenir les éléments suivants :
- Description du traitement envisagé et des finalités
- Une analyse de la nécessité et de la proportionnalité du traitement
- Une analyse des risques pour les droits et libertés des personnes
- Les mesures envisagées pour :
- Faire face aux risques
- Démontrer la conformité au RGPD
Comment réaliser l’AIPD ?
L'AIPD consiste en un document. Ce document peut être papier, sous la forme d'un rapport d'analyse par exemple, ou numérique, à travers un logiciel.
Ce qui est importe est que les risques soient identifiés et analysés.
De nombreux outils permettent d’aider à la réalisation de l’analyse d’impact.
La CNIL a développé un outil permettant de les documenter (accessible ici). De nombreuses méthodes sont proposées, en particulier par les régulateurs.
DASTRA a développé une méthode inspirée de la méthode de la CNIL pour réaliser ces analyses d'impact. Elle en reprend l'architecture mais l'améliore et la rend surtout collaborative ! Pour en savoir plus, n'hésitez pas à vous créer un compte ou à nous contacter !
Quelle conclusion de l'AIPD ?
L'AIPD permet d'identifier des mesures permettant d'atténuer le risque élevé. Ainsi, le risque doit passer de élevé à acceptable (ou faible).
Si et seulement si le risque est acceptable (ou faible), alors le traitement peut être mis en oeuvre.
Si après l'analyse, le risque dit résiduel est encore considéré comme élevé malgré les mesures envisagées, alors il faut consulter l'autorité de contrôle, la CNIL en France. Celle-ci donnera un avis dans un délai de 2 mois (qui peut être prolongé d'un mois et demi) pour statuer sur le sort du traitement et le cas échéant, indiquer les mesures à mettre en oeuvre pour qu'il soit réalisé.
Pour transmettre une AIPD, c'est ici.
Notre webinar
Nous avons fait un webinar sur le sujet qui vous explique tout en détail ! Vous pouvez le visionner depuis notre page webinar.