Selon l’article 35 du Règlement UE n°2016-679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD) « lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel. Une seule et même analyse peut porter sur un ensemble d’opérations de traitement similaires qui présentent des risques élevés similaires ».
Afin d’éclairer les responsables de traitement sur leurs obligations, la CNIL a adopté deux délibérations :
- Délibération n°2018-326 du 11 octobre 2018 portant adoption de lignes directrices sur les analyses d’impact relatives à la protection des données (AIPD) prévues par le RGPD ;
- Délibération n° 2018-327 du 11 octobre 2018 portant adoption de la liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise.
Ces délibérations ont vocation à éclairer les Responsables de traitement sur les traitements soumis à AIPD (I) et les traitements qui n’y sont pas soumis (II). Par ailleurs, la délibération n°2018-326 précise les étapes et conditions nécessaires à la réalisation des analyses d’impacts (III).
I. Les traitements soumis à AIDP
L’analyse d’impact est obligatoire si :
1) le traitement envisagé figure dans la liste des types d’opérations pour lesquelles la CNIL a estimé obligatoire de réaliser une AIDP (délibération n°2018-327 précitée) :
Traitements de données en matière de santé et médicosocial:
- traitements des données de santé mis en œuvre par les établissements médicosociaux pour la prise en charge des personnes ;
- traitements ayant pour finalité la gestion des alertes et des signalements en matière sociale et sanitaire ;
- Traitements de données portant sur des données sensibles :
- traitements des données de santé nécessaires à la constitution d’un entrepôt de données ou d’un registre ;
- traitements ayant pour finalités l’accompagnement social ou médico-social des personnes.
- traitements portant sur des données génétiques de personnes dites « vulnérable » (patients, employés, enfants etc.) ;
- traitements de données biométriques aux fins de reconnaissance des personnes parmi lesquelles figurent des personnes dites « vulnérables » (élèves, personnes âgées, patients, demandeur d’asiles, etc.)
Traitements RH
- traitements établissant des profils de personnes physique à des fins de gestions des ressources humaines ;
- traitements ayant pour finalité de surveiller de manière constante l’activités des employés concernés ;
- traitements ayant pour finalité la gestion des alertes et des signalements en matière professionnel.
Traitements relatifs à la gestion des contrats et des clients :
- traitements impliquant le profilage des personnes pouvant aboutir à leur exclusion du bénéfice d’un contrat ou à la suspension voire à la rupture de celui-ci ;
- traitements mutualisés de manquements contractuels constatés, susceptibles d’aboutir à une décision d’exclusion ou de suspension du bénéfice d’un contrat ;
Autres traitements :
- instruction des demandes et gestion des logements sociaux ;
- traitements de profilage faisant appel à des données provenant de sources externes ;
- traitements de données de localisation à large échelle.
L’analyse d’impact est également obligatoire si :
2) Le traitement remplit au moins deux des neufs critères issus des lignes directrices du G29 :
- évaluation/scoring (y compris le profilage) ;
- décision automatique avec effet légal ou similaire ;
- surveillance systématique ;
- collecte de données sensibles ou données à caractère hautement personnel ;
- collecte de données personnelles à large échelle ;
- croisement de données ;
- personnes vulnérables (patients, personnes âgées, enfants, etc.) ;
- usage innovant (utilisation d’une nouvelle technologie) ;
- exclusion du bénéfice d’un droit/contrat.
II. Les traitements non soumis à AIDP
D’une manière générale, il s’agira des traitements qui ne sont pas susceptibles d’engendrer un « risque élevé pour les droits et libertés des personnes physiques ».
Les cas dans lesquels les traitements ne sont pas soumis à AIDP, sont les suivants :
- lorsque la nature, la portée, le contexte et les finalités du traitement envisagé sont très similaires à un traitement pour lequel une AIPD a déjà été menée ;
- quand le traitement répond à une obligation légale ou est nécessaire à l’exercice d’une mission de service public, sous certaines conditions (qu’il ait une base juridique dans le droit de l’UE ou le droit de l’État membre, que ce droit règlemente cette opération de traitement et qu’une AIPD ait déjà été menée lors de l’adoption de cette base juridique).
- quand le traitement correspond à une exception déterminée par la CNIL.
Il est prévu que la CNIL adopte très prochainement une nouvelle liste plus précise des traitements pour lesquels une AIDP ne sera pas requise.
Etant précisé qu’une AIPD ne sera pas exigée pour :
- Les traitements ayant fait l’objet d’une formalité préalable auprès de la CNIL avant le 25 mai 2018, ou qui étaient dispensés de formalité ;
- Les traitements qui ont été consignés au registre d’un Correspondant Informatique et Libertés (ancien DPO).
Cette dispense sera limitée à une période de 3 ans. A l’issue de ce délai, les responsables de traitements devront effectuer une AIDP si le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes.
III. Les modalités de mise en œuvre d’une analyse d’impact
- Quand ?
L’AIDP doit être menée avant la mise en œuvre d’un traitement présentant un risque élevé pour les droits et libertés des personnes physiques concernées.
Par ailleurs, une AIDP doit être revue régulièrement afin de s’assurer que le niveau de risque pour les personnes physiques reste acceptable tout le long de la vie du traitement. La CNIL recommande qu’une AIDP soit revue tous les 3 ans.
- Qui ?
Bien que cette obligation incombe au seul Responsable de traitements, l’ensemble des acteurs du traitement considéré doit être impliqué :
- le délégué à la protection des données (DPO) dont le conseil doit être demandé et formalisé dans l’AIPD ;
- le responsable de la sécurité des systèmes d’information (RSSI) ;
- le ou les sous-traitants concernés qui ont une obligation de coopération ;
- les personnes concernées par le traitement ou leurs représentants, dont la consultation peut, dans certains cas, être pertinente pour évaluer les risques ;
- la maîtrise d’ouvrage et la maîtrise d’œuvre en fonction du contexte.
La CNIL préconise de documenter les apports de chaque acteur sollicité ou, à l’inverse, le choix de ne pas recueillir l’avis d’un acteur donné.
- Comment ?
Une AIDP doit au minimum contenir :
- une description systématique des opérations de traitement envisagées et de ses finalités ;
- une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités ;
- une évaluation des risques pour les droits et libertés des personnes concernées, et
- les mesures envisagées pour faire face aux risques.
- Les obligations de transmissions
Il n’est pas obligatoire de transmettre l’analyse d’impact à la CNIL.
Néanmoins, tout AIDP qui ferait apparaître des risques résiduels élevés et ce, malgré les mesures envisagées par le responsable de traitement, doit être transmises à la CNIL (article 36 RGPD).
Pour vous aider dans la mise en œuvre de vos AIDP, la CNIL a développé un logiciel facilitant la conduite et la formalisation des analyses d’impact : https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil
Afin d’être sûr de respecter les prescriptions du RGPD, n’hésitez pas à vous faire accompagner par des professionnels pour l’élaboration de vos analyses d’impact.
Charlotte GALICHET