L'analyse d'impact relative a la protection des données (AIPD) prévue par le RGPD
Auteur : Me Jean-Baptiste TRAN-MINH
Publié le :
04/05/2023
04
mai
mai
05
2023
Le RGPD prévoit que les autorités de protection des données doivent établir une liste des traitements pour lesquels une analyse d'impact relative à la protection des données est requise.
L’article 35-1 du Règlement Général sur la Protection des Données (RGPD) prévoit qu'une analyse d'impact relative à la protection des données (AIPD) doit être menée quand un traitement est "susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées".
Exemples :
- Traitements de données sur la santé mises en œuvre par les établissements de santé.
- Traitements établissant des profils de personnes physiques (évaluation ou notation).
- Traitements ayant pour finalité de surveiller l’activité de salariés.
- Traitements de données de profilage.
- Traitements de données de localisation à large échelle…
Le RGPD donne lui-même 3 types de traitements susceptibles de présenter un risque élevé :
- L'évaluation systématique et approfondie d'aspects personnels fondés sur un traitement automatisé et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l'égard d'une personne physique ou l'affectant de manière significative de façon similaire.
- Le traitement à grande échelle de données sensibles ou relatives à des condamnations pénales et des infractions.
- La surveillance systématique à grande échelle d'une zone accessible au public.
- Données traitées à grande échelle ;
- Données sensibles (origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, données génétiques ou de santé, données biométriques et données concernant la vie ou l'orientation sexuelle) ou données à caractère hautement personnel (données relatives à des communications électroniques, données de localisation, données financières, etc…) ;
- Données concernant des personnes vulnérables (patients, personnes âgées, enfants, etc…) ;
- Croisement ou combinaison de données ;
- Evaluation/scoring (y compris le profilage) ;
- Prise de décision automatisée avec un effet juridique ou similaire ;
- Surveillance systématique de personnes ;
- Traitement pouvant exclure du bénéfice d'un droit, d'un service ou d'un contrat ;
- Utilisation innovante ou application de nouvelles solutions technologiques ou organisationnelles.
Enfin, l'article 35-4 du RGPD ayant demandé aux autorités nationales de contrôle d'établir une liste des traitements pour lesquels une AIPD est requise, la CNIL a établi cette liste en annexe de sa délibération n°2018-327 du 11 octobre 2018.
Cette liste est appelée à être régulièrement revue par la CNIL selon son appréciation des "risques élevés" que peuvent présenter certains traitements.
Il faut par conséquent se reporter à cette annexe pour retrouver la liste précise des différents types d'opérations de traitements pour lesquels une AIPD est requise.
L'AIPD est un outil important pour la responsabilisation des organismes : elle les aide non seulement à construire des traitements de données respectueux de la vie privée mais aussi à démontrer leur conformité au RGPD.
Elle est obligatoire pour les traitements susceptibles d'engendrer des risques élevés. Cette obligation est d'ailleurs pénalement sanctionnée avec un risque d'amende très élevé (10 millions d'euros ou dans le cas d'une entreprise jusqu'à 2% du chiffre d'affaires annuel mondial total de l'exercice précédent ; le montant le plus élevé étant retenu).
Un "risque sur la vie privée" est un scénario décrivant :
- Un évènement redouté (atteinte à la confidentialité, la disponibilité ou à l'intégrité des données et ses impacts potentiel sur les droits et libertés des personnes),
- Toutes les menaces qui permettraient qu'il survienne.
La gravité doit être évaluée pour les personnes concernées et non pour l'organisme ou l'entreprise.
Une analyse d'impact peut porter sur un seul traitement ou sur un ensemble de traitements similaires.
Exemples :
- Des collectivités qui mettent en place un système de vidéo-surveillance similaire pourraient effectuer une seule analyse d'impact portant sur ce système, même si celui-ci est ultérieurement mis en œuvre par des responsables de traitement différents.
- Un opérateur ferroviaire (responsable de traitement unique) pourrait effectuer une seule analyse d'impact sur le dispositif de la surveillance vidéo déployée dans plusieurs enceintes ferroviaires.
Elle doit être démarrée le plus en amont possible et sera mise à jour tout au long du cycle de vie du traitement.
Il est à noter que la dispense d'obligation de réaliser une AIPD, pour les traitements existants mis en œuvre avant le 25 mai 2018, a été limitée à une période de 3 ans.
A l'issue de ce délai, les responsables de traitement doivent effectuer une telle étude si le traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes.
C'est donc le responsable de traitement qui est tenu par l'obligation de s'assurer de la conformité de son traitement au RGPD.
S'il a désigné un délégué à la protection des données, il lui demande conseil et le charge de vérifier l'exécution de l'AIPD.
Si un sous-traitant intervient dans le traitement, il doit également fournir son aide et les informations nécessaires à la réalisation de l'AIPD.
La CNIL a diffusé des guides méthodologiques pour la réalisation d'une AIPD.
Si le traitement relève du RGPD, l'AIPD doit être transmise à la CNIL :
- S'il apparait que le niveau de risque résiduel reste élevé (cas où la CNIL doit être consultée),
- Quand la législation nationale d'un Etat membre l'exige.
Article rédigé par Maître Jean-Baptiste TRAN-MINH, Avocat Associé
Historique
-
L'analyse d'impact relative a la protection des données (AIPD) prévue par le RGPD
Publié le : 04/05/2023 04 mai mai 05 2023ArticleLe RGPD prévoit que les autorités de protection des données doivent établir une liste des traitements pour lesquels une analyse d'impact relative à la protection des données est...
-
Cyberattaque : la question n’est plus qui mais quand
Publié le : 27/04/2023 27 avril avr. 04 2023ArticleLe 24 avril dernier est entré en vigueur le nouveau chapitre du Code des Assurances afférant au risque de cyberattaque créé par l’article 5 de la loi n° 2023-22 dite LOPMI. L...
-
Décret du 17 mars 2023 (n°2023-185) relatif au détachement des travailleurs : bonne ou mauvaise nouvelle ?
Publié le : 13/04/2023 13 avril avr. 04 2023ArticleLe décret du 17 mars 2023 (n°2023-185) apporte quelques modifications cosmétiques aux règles de contrôle du détachement. 3 ont retenu mon attention: 1°/ Simplification de...
-
Les faux-semblants à l'épreuve des principes directeurs du procès civil
Publié le : 06/04/2023 06 avril avr. 04 2023ArticleDepuis l’ordonnance n° 2017-1387 du 22 septembre 2017 relative à la prévisibilité et à la sécurisation des relations de travail, ayant institué le barème dit « Macron » plafonna...
-
Le harcèlement moral sur tous les terrains
Publié le : 30/03/2023 30 mars mars 03 2023ArticleCeux qui plaidaient avant l’entrée en vigueur de la loi n° 2022-73 du 17 janvier 2002 ayant codifié sous le Code du travail la règlementation relative au harcèlement moral, se s...
-
Si vis pacem…
Publié le : 23/03/2023 23 mars mars 03 2023ArticleUn employeur a récemment été condamné (Cass.soc. 18.01.2023), dans le cadre d’un licenciement pour motif économique, pour son appréciation défaillante du critère professionnel :...