Conduire une analyse d’impact au sein de votre organisme : les modalités précisées par le G29

Le Groupe 29, groupe de travail européen sur la protection des données, a rendu publiques ses lignes directrices concernant l’analyse d’impact. En effet, la mise en œuvre de celle-ci est rendue obligatoire par le règlement dans plusieurs hypothèses. Si le texte même du GDPR était encore flou la concernant, ces « guidelines » apportent des précisions importantes. Dans la mesure où les Etats disposent d’une certaine marge de manœuvre, elles visent la meilleure harmonisation possible en terme d’application du règlement.

 

L’analyse d’impact concerne-t-elle une seule opération de traitement ou un ensemble d’opérations de traitement similaires ?

 

« Une seule et même analyse peut porter sur un ensemble d’opérations de traitement similaires qui présentent des risques élevés similaires. » (Article 35 1) GDPR)

 

Pour le G29, cette disposition doit être interprétée comme visant l’utilisation de technologies similaires pour collecter et traiter des données, et cela aux mêmes fins. Il est cependant nécessaire que ces traitements soient équivalents en termes de risques compte tenu de la spécificité, de la portée, du contexte et des objectifs de ceux-ci.

Par exemple, une entreprise qui utilise la biométrie comme mode d’accès à ses locaux pourra réaliser une seule et même analyse d’impact, et ce même si elle dispose de plusieurs locaux.

 

 

Pour quels traitements une analyse d’impact doit-elle être effectuée ?

 

« Lorsqu’un type de traitement […] est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques » (Article 35 1) GDPR)

 

L’article 35 3) donne des exemples de ce type de traitements. Mais le G29 rappelle que ces cas ne sont que des exemples. La liste n’est donc pas exhaustive et les organismes doivent se référer à la notion de « risque élevé ». L’organisation européenne a donc mis en place 10 critères qui permettent d’apprécier cette notion afin de savoir si l’entreprise doit conduire une analyse d’impact.

  • La mise en œuvre de systèmes de notation ou d’évaluation. C’est par exemple le cas des entreprises qui bases leur technique marketing sur l’analyse des usages de leurs clients.
  • La prise de décisions automatisées produisant des effets juridiques ou affectant une personne de manière significative. Ces effets juridiques doivent être négatifs (discrimination ou exclusion de la personne).
  • Le suivi systématique des personnes ayant vocation à les surveiller ou les contrôler. Non seulement les personnes concernées ne savent pas forcément qu’elles sont suivies par ces systèmes, mais elles ne peuvent pas l’éviter dans les espaces publics.
  • Le traitement des données sensibles. Ce critère est plus large qu’il n’y parait puisqu’il ne se limite pas aux catégories spéciales de données personnelles traitées par l’article 9 du Règlement (opinions politiques, religieuses, origine raciale ou ethnique, etc.). Il intègre l’ensemble des données qui comportent des risques pour les droits et libertés : données de communications électroniques, données de localisation, données financières, etc.
  • Le traitement des données à grande échelle. La notion de grande échelle porte sur le nombre de personnes concernées, le volume des données, la durée ou la permanence du traitement et l’étendue géographique.
  • Les données qui ont fait l’objet d’un croisement. Elles sont généralement issues de traitements qui n’avaient pas les mêmes finalités.
  • Les données de « personnes vulnérables » comme les enfants, les employés, les demandeurs d’asiles, les malades (physiques et mentaux), etc.
  • Le recours à des nouvelles technologies qui peuvent impliquer de nouvelles formes de collecte ou traitement de données dont les conséquences sont encore inconnues.
  • Le transfert de données hors de l’Union Européenne. 
  • Lorsque le traitement empêche les personnes concernées d’exercer un droit ou d’utiliser un service ou un contrat. C’est par exemple le cas des personnes qui font l’objet d’un traitement dans un lieu public et qui ne connaissent pas l’existence de celui-ci (vidéo-protection).

 

Que se passe-t-il pour les opérations de traitement déjà mises en œuvre avant l’entrée en vigueur du règlement ?

Seuls les traitements mis en place après l’entrée en vigueur du règlement doivent faire l’objet d’une analyse d’impact. Concernant ceux qui sont déjà en cours, le G29 recommande vivement de conduire cette analyse, sans toutefois l’obliger. Cependant, certains éléments peuvent conduire à la mettre en oeuvre, quand bien même le traitement a été mis en place avant l’entrée en vigueur du règlement. Cela concerne notamment les traitements dont les finalités ont changé.

 

Quel est le mode d’emploi pour effectuer une analyse d’impact ?

Quand effectuer une AIPD ?

Pour se conformer aux principes de « Privacy by Design » et « Privacy by Default », cette analyse doit être réalisée préalablement à la mise en œuvre du traitement. Il est aussi nécessaire de mettre à jour les résultats de l’analyse puisque le traitement peut être amené à évoluer.

Qui doit réaliser l’AIPD ?

C’est au responsable de traitement de réaliser l’analyse d’impact avec l’assistance du DPO.

Dans ce cadre, il a l’obligation de prendre l’avis des personnes concernées par la problématique des données, et ce par le biais de différents outils (sondages, études, etc.). Il doit documenter les cas dans lesquels il ne tient pas compte des avis reçus, mais aussi les cas dans lesquels il décide de ne pas recueillir d’avis.

De plus, le G29 recommande de définir précisément les responsabilités et les rôles de chacun : la direction fonctionnelle de l’organisme en charge du traitement, les différents experts qui interviennent (avocats, techniciens, etc.), le DSSI, le DPO et les sous-traitants.

Comment réaliser cette analyse ?

 

Doit-on la publier ?

La publication n’est pas une obligation. Néanmoins, le G29 préconise de le faire comme preuve de transparence afin de favoriser la confiance dans les relations avec les clients.

 

Doit-on communiquer l’étude d’impact à la CNIL pour qu’elle autorise le traitement ?

De manière générale, il n’y a pas d’obligation de transmettre l’analyse à la CNIL pour qu’elle autorise le traitement. Cependant, il y a deux exceptions :

  • Si des risques élevés pour les droits et libertés des personnes persistent à l’issue de l’analyse d’impact
  • Si la loi soumet le traitement à une autorisation préalable

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *