L’article 35 du RGPD (Règlement Général sur la Protection des Données) prévoit la conduite d’une Analyse d’impact relative à la protection des données lorsqu’un traitement de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées.
En son point 35.4, le Règlement demande également que les autorités de contrôle des Etats-membres établissent une liste des traitements pour lesquels une Analyse d’impact est obligatoirement requise.
C’est chose faite en France. La délibération de la Cnil n°2018-327 du 11 octobre 2018 portant adoption de la liste des types d’opérations de traitement pour lesquelles une Analyse d’Impact relative à la Protection des Données est requise a en effet été publiée mardi 6 novembre au Journal Officiel.
Après un rappel des conditions de mise en œuvre de l’Analyse d’impact (I) nous verrons les spécificités des traitements retenus par la Cnil comme devant automatiquement faire l’objet d’une Analyse d’impact (II).
I. L’Analyse d’impact
L’Analyse d’impact relative à la protection des données est un outil permettant aux entreprises de conduire des traitements de données conformes aux exigences du RGPD et de démontrer la conformité de ces traitements en cas de contrôle.
Le responsable de traitement est responsable de la bonne conduite des Analyses d’impact qui doivent être menées avant la mise en œuvre du traitement. L’Analyse doit également être mise à jour au cours de la vie du traitement pour s’assurer qu’aucun nouveau risque n’est apparu.
Le délégué à la protection des données personnelle conseille le responsable de traitement et vérifie la bonne exécution de l’Analyse d’impact qui peut être facultative (A), ou obligatoire (B) et suivre une forme particulière (C).
A. Elle peut être facultative
L’Analyse d’impact est facultative lorsque le traitement ne présente pas de risque élevé pour les droits et libertés des personnes concernées.
Elle est également facultative lorsque la portée, la nature, le contexte et les finalités du traitement sont identiques ou très proches de ceux d’un traitement ayant déjà fait l’objet d’une Analyse.
Enfin, les traitements répondant à une obligation légale ou étant nécessaires à la réalisation d’un service public (si le traitement a une base juridique en droit, qui réglemente l’opération et qu’une Analyse a déjà été menée lors de l’adoption de la base juridique) ne sont pas obligatoirement tenus de se soumettre à une Analyse d’impact.
La Cnil doit également bientôt publier la liste des traitements bénéficiant automatiquement d’une exception.
Concernant les traitements mis en œuvre avant l’entrée en vigueur du RGPD, ils bénéficient d’un régime d’exemption temporaire. Ainsi, les traitements consignés au registre d’un correspondant « informatique et liberté » et les traitements ayant été déclarés à la Cnil avant l’entrée en vigueur du RGPD le 25 mai 2018 sont dispensés d’Analyse d’impact pour une période maximum de trois ans. Cette dispense ne s’applique pas aux traitements ayant été déclarés préalablement au 25 mai 2018 mais ayant depuis fait l’objet d’une modification significative.
B. Ou obligatoire
L’article 35 du RGPD rend obligatoire la réalisation d’une Analyse d’impact pour les traitements susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques, c’est-à-dire un risque que survienne un événement mettant en danger la sécurité des données (atteinte à la confidentialité, la disponibilité ou l’intégrité des données).
La gravité de la menace est évaluée en fonction des conséquences pour les personnes dont les données ont été collectées.
Le règlement détaille trois traitements susceptibles de représenter un risque élevé et faisant obligatoirement l’objet d’une Analyse d’impact :
• l’évaluation systématique et approfondie d’aspects personnels fondés sur un traitement automatisés et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative ;
• le traitement à grande échelle de données sensibles ou relatives à des condamnations pénales et des infractions ;
• la surveillance systématique à grande échelle d’une zone accessible au public.
Une Analyse d’impact est également obligatoire lorsque le traitement de données remplit deux des neuf critères issus des lignes directrices du G29 (le groupement des autorités de contrôle de l’Union européenne devenu le Comité Européen de la Protection des Données), à savoir :
• évaluation (dont le profilage) ;
• décision automatique avec effet légal ou similaire ;
• surveillance systématique ;
• collecte de données sensibles ;
• collecte à large échelle ;
• croisement de données ;
• collecte de données de personnes vulnérables ;
• utilisation d’une nouvelle technologie ;
• exclusion du bénéfice d’un droit/ contrat.
C. Elle doit suivre une forme particulière
L’Analyse d’impact contient au minimum une description des opérations et des finalités du traitement, l’évaluation de la nécessité et de la proportionnalité des opérations au regard de la finalité, une évaluation des risques sur les droits et libertés des personnes concernées et les mesures envisagées pour répondre à ces risques.
La Cnil recommande de délimiter et décrire le contexte du traitement, ainsi que les mesures garantissant le respect des principes fondamentaux (proportionnalité, nécessité, protection), afin d’apprécier les risques que le traitement fait peser sur les données des personnes concernées.
Enfin, l’article 36 du Règlement prévoit que l’Analyse doit être transmise à l’Autorité de contrôle en cas de risque résiduel élevé, si la législation nationale l’exige et en cas de demande de l’Autorité.
II. Spécificités des traitements soumis obligatoirement à une Analyse d’impact en France
A. Liste des traitements soumis obligatoirement à une Analyse d’impact en France
La Cnil a publié la liste de quatorze traitements devant obligatoirement faire l’objet d’une Analyse d’impact, parmi ceux-ci, on peut relever :
• Les traitements de données de santé mis en œuvre par les établissements de santé ou les établissements médico-sociaux pour la prise en charge des personnes ;
• l’instruction des demandes et gestion des logements sociaux ;
• les traitements ayant pour finalité de surveiller de manière constante l’activité des employés concernés ;
• les traitements ayant pour finalité la gestion des alertes et des signalements en matière professionnelle ; ou encore
• les traitements ayant pour finalité l’accompagnement social ou médico-social des personnes.
Les principaux secteurs concernés sont les ressources humaines, la santé et les services à visée sociale.
La Cnil fonde sa délibération sur le croisement des critères issus des lignes directrices du Comité Européen de la Protection des Données. Les traitements retenus impliquent deux critères de risques, et notamment, les critères suivants : collecte des données sensibles, personnes dites « vulnérables », évaluation ou notation.
B. Conséquences sur les traitements mis en œuvre de manière successive
Le choix de ces traitements invite à s’interroger sur la nécessité de réitérer les Analyses d’impact pour des types semblables de traitement.
Par exemple, dans le cas de « l’instruction des demandes et gestion des logements sociaux », il est probable que l’organisme de gestion soit amené à répéter fréquemment pour des personnes différentes un traitement des données identique dans sa forme.
De même, les « traitements de données de santé mis en œuvre par les établissements de santé ou les établissements médico-sociaux pour la prise en charge des personnes » seront probablement mis en œuvre pour chaque patient.
L’organisme de gestion ou le centre de santé sont-ils alors tenus de procéder à une Analyse d’impact systématique pour chaque mise en œuvre des traitements sur une nouvelle personne ?
L’article 35.1 du RGPD indique que : « une seule et même analyse peut porter sur un ensemble d’opérations de traitement similaires qui présentent des risques élevés similaires ».
Le considérant 92 du Règlement précisait déjà que : « il existe des cas dans lesquels il peut être raisonnable et économique d’élargir la portée de l’analyse d’impact relative à la protection des données au-delà d’un projet unique, par exemple lorsque des autorités publiques ou organismes publics entendent mettre en place une application ou une plateforme de traitement commune, ou lorsque plusieurs responsables du traitement envisagent de créer une application ou un environnement de traitement communs à tout un secteur ou segment professionnel, ou pour une activité transversale largement utilisée ».
La Cnil applique cette analyse au sein de sa présentation des Analyses d’impact relative à la protection des données, en indiquant notamment et à titre d’exemple qu’un opérateur ferroviaire pourrait effectuer une seule Analyse d’impact du dispositif de surveillance vidéo déployé dans plusieurs gares.
L’analyse peut donc concerner un seul traitement ou un ensemble de traitements similaires. Les responsables de traitement ne sont alors pas tenus de procéder à une nouvelle Analyse, tant qu’ils ne modifient pas le traitement.
Ils doivent cependant toujours s’assurer que le traitement ne crée pas de risques au fur et à mesure de son existence.
Sources : Ce qu’il faut savoir sur l’analyse d’impact relative à la protection des données (AIPD)
Délibération n°2018-326 du 11 octobre 2018 portant adoption des lignes directrices sur les Analyses d’Impact relatives à la Protection des Données (AIPD) prévues par le règlement général sur la protection des données (RGPD)
Délibération n°2018-327 du 11 octobre 2018 portant adoption de la liste des types d’opérations de traitement pour lesquelles une Analyse d’Impact relative à la Protection des Données est requise