Pour vous apporter un éclairage approfondi sur l’AIPD, nous avons laissé la parole à Alice LASRY, Avocate aux barreaux de Paris et New York au sein du cabinet Pépites Avocats.
Définition et cadre réglementaire
L’analyse d’impact relative à la protection des données (AIPD) ou PIA pour Privacy Impact Assessment est un mécanisme de conformité prévu par l’article 35 du RGPD.
Elle est requise lorsqu’un traitement de données à caractère personnel peut avoir pour conséquence une atteinte aux droits et libertés des personnes physiques concernées par le traitement, prenant la forme de dommages matériels, physiques ou d’un préjudice moral.
De plus, on considère que certaines opérations de traitement et/ou le traitement de certaines catégories de données peuvent dans certaines circonstances, présenter un risque pour la vie privée des personnes et qu’il est donc nécessaire d’y porter une attention particulière.
L’objectif de la réalisation d’une analyse d’impact est donc de s’assurer que le traitement envisagé est bien conforme aux principes de protection des données tels que prévus par le RGPD.
Les analyses d’impact font partie intégrante de la documentation nécessaire à la preuve de la conformité des traitements d’une entreprise au RGPD.
L’article 35 du RGPD vise 3 situations dans lesquelles la réalisation d’une analyse d’impact est requise :
- L’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé ;
- La surveillance systématique à grande échelle d’une zone accessible au public ;
- Le traitement à grande échelle de catégories particulières de données (les données visées à l’article 9 du RGPD, notamment les données de santé).
Dans ces hypothèses, l’analyse d’impact est obligatoire et ce avant la mise en œuvre du traitement.
A l’entrée en vigueur du RGPD en mai 2018, la CNIL avait accordé un délai de 3 ans aux opérateurs afin réaliser les analyses d’impact obligatoires sur les traitements existants, soit jusque mai 2021.
Définition du risque sur la vie privée
Le risque est déterminé en termes de gravité et de vraisemblance.
La gravité correspond à l’ampleur du risque et s’apprécie donc par rapport aux impacts potentiels de la survenance du risque. La vraisemblance renvoie au degré de probabilité de la réalisation du risque, elle dépend de la résistance des supports de données face aux menaces.
La survenance du risque peut consister notamment en une discrimination, un vol, une usurpation d’identité, une perte financière, une atteinte à la réputation, une perte de confidentialité de données protégées par le secret professionnel, un renversement non autorisé du processus de pseudonymisation, ou à tout autre dommage économique ou social important. Il résulte également de la privation d’un droit ou d’une liberté, ou de l’empêchement d’exercer le contrôle sur ses données personnelles.
Dans quels cas doit-on effectuer une AIPD ?
Sont concernés par cette démarche tous les responsables de traitement.
En premier lieu, si le traitement considéré correspond à l’une des hypothèses de l’article 35 du RGPD énoncées ci-dessus, alors l’analyse d’impact devra être effectuée.
Ensuite, conformément à l’article 35 4° du RGPD, la CNIL a émis une liste de traitements pour lesquels elle a jugé que l’analyse d’impact était obligatoire. Parmi les opérations de traitement de données concernées :
- Les traitements établissant des profils de personnes physiques à des fins de gestion des ressources humaines ;
- Les traitements ayant pour finalité de surveiller de manière constante l’activité des employés concernés ;
- Les traitements de données de localisation à large échelle.
Cette liste n’est pas exhaustive, dans la mesure où des traitements qui n’y figurent pas peuvent néanmoins devoir faire l’objet d’une AIPD.
En effet, tous les traitements susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques doivent faire l’objet d’une analyse d’impact.
Pour déterminer l’existence de ce risque le G29 (aujourd’hui Comité Européen de la Protection des Données (CEPD)), a établi une liste de 9 critères
Lorsque 2 de ces 9 critères sont remplis, une analyse d’impact devra être effectuée. Les critères sont les suivants :
- L’évaluation ou le scoring, y compris les activités de profilage et de prédiction, portant notamment sur des aspects concernant le rendement au travail de la personne concernée, sa situation économique, sa santé, ses préférences ou centres d’intérêt personnels, sa fiabilité ou son comportement, ou sa localisation et ses déplacements ;
- La prise de décision automatisée avec effet juridique ou effet similaire significatif, traitement ayant pour finalité la prise de décisions à l’égard des personnes concernées produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire ;
- La surveillance systématique, traitement utilisé pour observer, surveiller ou contrôler les personnes concernées, y compris la collecte de données via des réseaux ou par la surveillance systématique d’une zone accessible au public ;
- La collecte de catégories particulières de données, relevant de l’article 9 du RGPD ;
- La collecte de données personnelles à grande échelle - le RGPD ne définit pas ce qu’est un traitement « à grande échelle » mais le G29 indique que pour déterminer si le traitement est effectué à grande échelle, doivent être pris en compte les facteurs suivants : le nombre de personnes concernées, le volume de données et/ou l’éventail des différents éléments de données traitées, la durée ou la permanence de l’activité de traitement de données et l’étendue géographique de l’activité de traitement ;
- Le croisement ou la combinaison d’ensembles de données, issus de plusieurs opérations de traitement, effectuées à des fins différentes et/ou par des responsables de traitement différents ;
- Le traitement de données de personnes vulnérables, en raison du déséquilibre des pouvoirs accru qui existe entre les personnes concernées et le responsable du traitement ;
- L’utilisation innovante ou l’application de nouvelles solutions technologiques ou organisationnelles : le RGPD indique clairement que l’utilisation d’une nouvelle technologie, définie en « conformité avec l’état des connaissances technologiques » peut déclencher la nécessité d’une AIPD, et ce en raison du fait que l’utilisation de la technologie en question peut impliquer de nouvelles formes de collecte et d’utilisation des données, présentant potentiellement un risque élevé pour les droits et libertés des personnes ;
- Les traitements en eux-mêmes qui empêchent les personnes concernées d’exercer un droit ou de bénéficier d’un service ou d’un contrat notamment les opérations visant à autoriser, modifier ou refuser l’accès à un service ou la conclusion d’un contrat.
Ainsi, tout traitement qui remplirait 2 des neufs critères énoncés ci-dessus devrait faire l’objet d’une analyse d’impact.
Enfin, la CNIL a aussi émis une liste de traitement pour lesquels la réalisation d’une analyse d’impact n’est pas requise. C’est par exemple le cas des traitements mis en œuvre uniquement à des fins de ressources humaines pour la gestion des organismes qui emploient moins de 250 personnes. Ces traitements concernent, entre autres, la gestion de la paye et de l’émission des bulletins de salaire.
Quels sont les outils à notre disposition pour effectuer une AIPD ?
La CNIL a mis à disposition des responsables de traitement l’outil PIA, un logiciel open source qui facilite la conduite et la formalisation d’analyses d’impact. La CNIL a également publié des guides sur l’analyse d’impact : la méthode, des modèles ainsi que les bases de connaissances nécessaires à la réalisation d’une analyse d’impact.
L’utilisation des outils de la CNIL permettent de déterminer les types de traitements nécessitants ou non une analyse d’impact et, de mieux comprendre la manière dont une analyse d’impact doit être menée concrètement.
Sachez aussi que la solution de mise en conformité RGPD de OneTrust inclut un modèle d’analyse d’impact basé sur la méthodologie de PIA de la CNIL.
Vous souhaitez déployer un outil de conformité RGDP ?
OneTrust vous aide à simplifier les évaluations et à maintenir des registres de traitement à jour de manière automatique afin de démontrer la conformité, de gagner du temps, d’augmenter la précision et de promouvoir la collaboration.