Le 25 mai 2018, le règlement général sur la protection des données (RGPD-GDPR) entrera en vigueur dans tous les États membres de l’Union Européenne. Les entreprises ont désormais quatre mois pour se préparer et se mettre en conformité avec le texte.
Afin d’accompagner les responsables de traitements dans la mise en œuvre des obligations du RGPD, la CNIL a publié un logiciel sous licence libre. Disponible en français et en anglais, il facilite la conduite d’une analyse d’impact relative à la protection des données.
En effet, l’analyse d’impact sur la protection des données (PIA) ou DPIA (Data Privacy Impact Assessment) est un volet majeur du RGPD.
Le règlement oblige les responsables de traitements à assurer une protection optimale des données à chaque instant et à être en mesure de la démontrer en documentant leur conformité.
L’analyse d’impact se définit comme l’étude que tout organisme, public ou privé, doit réaliser avant de mettre en œuvre un traitement de données à caractère personnel, susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques. Il comporte 1.la description des caractéristiques du traitement, 2.l’identification des risques potentiels du traitement pour les personnes concernées et l’évaluation de leur niveau de gravité et 3.la proposition de mesures idoines pour neutraliser ou minorer les risques identifiés.
La CNIL souligne que l’analyse d’impact sur la protection des données se mène « avant la mise en œuvre du traitement », ou le « plus en amont possible » et doit être mise « à jour tout au long du cycle de vie du traitement. »
Cette méthode « permet d’être conforme aux exigences définies dans les lignes directrices du G29 », l’entité représentative des CNIL européennes. En effet, le règlement s’appliquant uniformément à l’ensemble des États membres, les entreprises établies dans plusieurs États membres doivent s’assurer de la conformité de leurs traitements dans chacun de ceux-ci, et non seulement en France.
Comme indiqué, si cette analyse est toujours fortement recommandée, elle n’est obligatoire que pour les traitements de données « susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées ».
Pour le règlement, il s’agit notamment de la prise de décision automatisée qui aboutit à des exclusions ou à des discriminations mais également de la surveillance systématique à grande échelle d’une zone accessible au public.
Dans ses Lignes Directrices, le G29 évoque avec plus de précision huit exemples. Il s’agit de traitements :
1. à grande échelle de données sensibles (susceptibles de faire apparaître les origines raciales ou ethniques, les opinions politiques, les convictions religieuses, philosophiques ou syndicales, l’état de santé, l’orientation sexuelle) ;
2. procédant à une évaluation ou scoring (le profilage d’utilisateurs sur un site Web) ;
3. « à grande échelle » (en corrélation avec la population concernée, le volume de données, la durée ou l’éventuel caractère permanent du traitement) ;
4. opérant des rapprochements ou interconnexions ;
5. concernant le caractère vulnérable des personnes ;
6. employant des technologies innovantes comme la biométrie ;
7. de transfert de données en dehors de l’Union Européenne ;
8. susceptibles de priver les personnes d’un droit ou d’un contrat comme un système de notation fondant ensuite une décision d’octroi de crédits.
Par ailleurs, cette obligation est d’autant plus essentielle que, en cas de contrôle de la CNIL qui constaterait qu’une telle analyse d’impact n’a pas été réalisée, l’organisme concerné encourt une amende pouvant aller jusqu’à 10 millions d’euros ou 2 % de son chiffre d’affaires mondial.
À cet égard, pour la CNIL le logiciel PIA constitue l’outil qui « déroule l’intégralité de la méthode PIA » en ce qu’il comprend notamment une base de connaissances contextuelles ainsi que des outils de visualisation « permettant de comprendre en un coup d’œil l’état des risques du traitement étudié. »
De plus, le logiciel présente un intérêt certain pour les entreprises en facilitant l’automatisation et la récurrence des analyses d’impact. Sa publication sous licence libre permet de l’adapter à ses besoins propres.
Finalement, dans un communiqué, la CNIL présente le logiciel comme une version beta et espère des retours des utilisateurs afin de déterminer des améliorations et enrichissements éventuels à apporter. Une version finalisée sera proposée, avant l’entrée en vigueur du RGPD.
