Formations 

Blog Données personnelles

  1. Accueil
  2. Blogs
  3. Données personnelles
  4. L’étude d’impact : l’auto-é...

L’étude d’impact : l’auto-évaluation de votre niveau de conformité aux principes de protection des données personnelles

Si les principes de protection des données personnelles n’ont pas été bouleversés par le Règlement européen du 27 avril 2016, la façon de les appliquer et surtout la méthode pour que chaque acteur - responsable de traitement et sous-traitant - apprécie lui-même son propre niveau de conformité constituent un changement important.

Cette appréciation effectuée auparavant par la CNIL est dorénavant du ressort de chacun et le Règlement prévoit à cet égard trois cas dans lesquels la conduite d’une étude d’impact est obligatoire lorsque le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes.

Dans quels cas mener une analyse d’impact relative à la protection des données ?

Trois catégories de traitements sont visées par le RGPD à son article 35.

Il s’agit des traitements visant à

  • l’évaluation systématique et approfondie d’aspects personnels propres à des personnes physiques, qui est fondée sur un traitement automatisé, notamment le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière tout aussi significative ;
  • au traitement à grande échelle des catégories particulières de données personnelles : les données qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, les données génétiques, les données biométriques, les données concernant la santé ou la vie et l’orientation sexuelle, les données relatives aux condamnations ou aux infractions pénales ;
  • la surveillance systématique à grande échelle d’une zone accessible au public.
    Le champ d’application de ces dispositions n’étant pas toujours évident à interpréter, ni en outre la façon de conduire l’étude d’impact elle-même, le Comité européen à la protection des données (successeur du G29) a identifié neuf critères qui permettent aux acteurs dans le doute de confirmer ou pas la nécessité de mener une telle étude.
1. Evaluation/Scoring

2. Décision automatique avec effet légal

3. Surveillance systématique

4. Données sensibles

5. Large échelle 		 6. Croisement de données

7. Personnes vulnérables

8. Usage innovant

9. Exclusion du bénéfice d’un droit/contrat

 

Ces critères ont été repris par la CNIL dans sa récente délibération n° 2018-326 du 11 octobre 2018 portant adoption de lignes directrices sur les analyses d’impact relatives à la protection des données (AIPD) prévues par le règlement général sur la protection des données (RGPD).

Bien sûr cette grille de lecture est indicative et non exhaustive et ne permettra pas de répondre à toutes les interrogations mais le doute doit profiter à la protection des droits et libertés individuels et doit conduire le responsable de traitement avec l’aide de son DPO à mener une étude d’impact même s’il n’est pas certain de remplir au moins deux des critères précités.

Conformément à l’article 35-4 du RGPD, les autorités de protection des données sont invitées à publier des listes de traitements pour lesquels une étude d’impact est nécessaire. C’est ce qu’a fait la CNIL dans une deuxième délibération du 11 octobre 2018 (2018-326) portant adoption de la liste des types d’opérations de traitements pour lesquelles une analyse d’impact relative à la protection des données est requise.

Quatorze types d’opérations sont ainsi listés dans une annexe à la délibération et cette liste non exhaustive est bien sûr amenée à évoluer dans le temps.

En pratique, pour savoir si vous devez mener une étude d’impact, il convient :

  • de vérifier si la finalité de votre traitement est couverte par un ou plusieurs des trois cas visés à l’article 35 du RGPD
  • de consulter la liste des types d’opérations de traitements établie par la CNIL pour lesquelles une étude d’impact est requise
  • de confirmer votre analyse avec la grille des neuf critères définis par le Comité européen de protection des données
  • de solliciter l’avis de votre DPO ou de la CNIL en cas de doute subsistant

A noter que les traitements qui répondent à une obligation légale ou qui traduisent l’exercice d’une mission de service public, pour lesquels les textes prévoient de procéder à une analyse d’impact sur les droits et libertés individuels, aucune nouvelle étude n’est nécessaire.

Une mutualisation peut également être réalisée entre plusieurs études d’impact lorsque la nature, la portée, le contexte et la finalité sont similaires. C’est le cas par exemple des traitements relevant des méthodologies de référence en matière de recherche dans le domaine de la santé.

Le contenu de l’analyse d’impact relative à la protection des données

Cette analyse doit au moins comporter :

  • une description des opérations de traitement et de ses finalités ;
  • une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités ;
  • une évaluation des risques pour les droits et libertés des personnes concernées ;
  • les mesures envisagées pour traiter ces risques et se conformer au règlement.

Chacune des étapes est importante et celle relative à l’évaluation des risques est sans nul doute la plus nouvelle et la plus délicate pour les acteurs.

Schéma de conduite d’une analyse d’impact

La réalisation d’une analyse d’impact doit être un travail d’équipe.

Le responsable de traitement ne doit pas être seul à réaliser cet exercice. Il doit être entouré de son délégué à la protection des données personnelles, de son responsable informatique, de ses sous-traitants et de tout prestataire qui participent à la réalisation et au fonctionnement du traitement.

L’analyse d’impact est également un processus dynamique qui doit être révisé régulièrement car les traitements évoluent et à cet égard, la Commission laisse un délai de trois ans aux acteurs pour procéder à cette analyse d’impact dès lors que leur traitement a fait l’objet de formalités préalables avant l’entrée en application du RGPD.

En cas de difficulté à réaliser l’exercice, la CNIL peut être saisie. A cet égard, selon les secteurs d’activités, les référentiels et règlements-types établis par la Commission peuvent être utiles puisque le fait de les respecter permet d’écarter les risques résiduels.

Pour certains traitements, il est d’ores et déjà acté que l’analyse d’impact doit accompagner le dossier de demande d’autorisation qui doit être soumis à la CNIL, ce qui est le cas des traitements de données de santé visés à l’article 54-III de la loi Informatique et Libertés modifiée.

  ⇐ Précédent
Suivant ⇒