L’analyse d’impact relative à la protection des données

L’AIPD : Définition et mise en application

L’analyse d’impact relative à la protection des données (AIPD – Data Protection Impact Assessment) est une procédure de contrôle fixée par l’article 35 du règlement RGPD. Elle intervient lorsque le traitement de données personnelles par un organisme (privé ou public) est susceptible de présenter un risque important pour les droits et libertés des individus concernés par ce même traitement. C’est donc un outil majeur pour les établissements dont l’activité consiste à récupérer, analyser et stocker des données privées. Un outil qui permet à la fois de mettre en place un système de traitement de datas personnelles plus vertueux, et de certifier de sa conformité avec la nouvelle réglementation RGPD (25 mai 2018).

Situations concernées par l’analyse d’impact RGPD

L’analyse d’impact RGPD est obligatoire en cas de risque d’atteinte à la confidentialité, ainsi qu’à la disponibilité et l’intégrité des données traitées. Les situations concernées sont énumérées par la CNIL (ainsi que le G29) et comprennent :

  • les opérations de traitement des données de santé par les établissements médicaux
  • les opérations de traitement concernant les données sensibles (génétiques, de géolocalisation, hautement personnelles)
  • les opérations de traitement des données de personnes vulnérables (enfants, personnes âgées)
  • les opérations de traitement des données concernant le profilage (gestion, ressources humaines)
  • les opérations de traitement des données concernant la surveillance active et continue d’employés
  • les opérations de traitement de données dans le cadre d’un usage innovant (nouvelle technologie)
  • la collecte de données à large échelle et leur croisement

Méthode et acteurs de l’analyse d’impact

Procédure régulière de l’AIPD

L’analyse d’impact RGPD doit être mise en œuvre en amont du traitement en question, pour ensuite être mis à jour en fonction de son développement. En effet, dans la mesure où les technologies évoluent, il est nécessaire de prévenir au maximum les risques qu’un nouvel environnement de traitement pourrait occasionner sur les données analysées.

S’agissant de la procédure d’une AIPD, elle doit contenir :

  • la description détaillée, l’intérêt et la finalité de l’opération envisagée
  • une évaluation de la nécessité de ce traitement en fonction des risques encourus sur les droits et libertés des personnes concernées
  • les mesures de sécurité et garanties envisagées pour diminuer les risques cités au préalable

Par la suite, aucune obligation de publication n’est demandée. Cependant, si suite à l’analyse d’impact RGPD effectuée les risques pour la sécurité des données restent élevés, le rapport doit être transmis à la CNIL. Cette dernière peut également initier cette vérification en demandant elle-même à avoir accès à ce rapport.

Qui est concerné ?

Une étude d’impact RGPD n’est pas obligatoire pour les traitements ayant reçu une dispense de la CNIL avant le changement de réglementation. En revanche, cette dispense n’est pas éternelle et n’est valide que durant trois ans à compter du 25 mai 2018 (date de mise en place du nouveau règlement RGPD).

Quant aux acteurs qui interviennent lors de l’exécution d’une AIPD, le responsable de traitement joue un rôle primordial. C’est à lui que revient le soin de s’assurer de la conformité de l’opération. Le délégué à la protection des données (s’il existe) est chargé de l’assister dans sa tâche, de même que les différents acteurs du processus comme le responsable de la sécurité informatique, par exemple.

De plus, les personnes dont les données sont traitées doivent être interrogées via enquête, sondage ou questionnaire, afin que leurs avis sur les risques encourus soit connus.

Intérêt de l’étude d’impact et sanctions en cas de non-conformité

Si l’analyse d’impact RGPD reste évidemment une contrainte pour les sociétés et organismes de traitement des données, elle représente tout de même une bonne opportunité dans le cadre juridique actuel. Premièrement, c’est un bon moyen pour les entreprises de réduire les craintes, les inquiétudes de la population quant à l’utilisation de leurs datas privées. Elle offre également un cadre de travail précis pour parvenir à rester conforme aux directives RGPD. Enfin, c’est une preuve de sérieux, de professionnalisme qui ne peut qu’être bénéfique auprès de ses partenaires, clients, administrés…

En ce qui concerne les sanctions prévues en cas de non-respect des règles relatives aux études d’impact, la punition est exemplaire. L’amende peut en effet atteindre jusqu’à dix millions d’euros. Pour une entreprise, le montant retenu correspond à 2 % des chiffres d’affaires réalisés précédemment. La somme retenue étant celle du plus élevé. Une autre bonne raison de respecter cette nouvelle procédure introduite par l’article 35 du règlement RGPD!

Références

Articles liés à ce sujet :