News : Journée européenne de la protection des données. Gagnez des accompagnements et des abonnements en vous inscrivant à notre quiz du 28 Janvier !

Logo Witik

AIPD : 5 clés pour comprendre l’analyse d’impact

Table des matières

Qu’est-ce que l’AIPD ? Lorsqu’un traitement est susceptible d’engendrer un risque pour la vie privée des personnes, le responsable de traitement doit procéder à une analyse d’impact (aussi nommée PIA pour Privacy Impact Assessment ou encore AIPD pour Analyse d’Impact sur la Protection des Données).


L’étude d’impact est un document qui permet, une fois rédigé par le DPO en charge du RGPD, de construire des traitements de données respectueux de la vie privée et de démontrer leur conformité. L’AIPD est aussi un des documents qui doivent être fournis à la CNIL pour justifier que votre entreprise respecte les règles du RGPD.


analyse impact rgpd

 

Quels traitements sont soumis à l’AIPD ?

 

 

La CNIL a établi deux listes pour savoir facilement si une étude d’impact AIPD est à réaliser ou non :

  • Une liste de traitements exemptés d’analyse d’impact
  • Une liste de traitements dont l’étude d’impact est obligatoirement à réaliser

     

Au-delà de ces listes, le Comité Européen de la Protection des Données (ex-G29), ou CEPD, a établi un ensemble de critères permettant d’identifier les traitements nécessitant une AIPD. Concrètement, si un traitement correspond à deux critères édictés ou plus, alors une analyse d’impact est à réaliser obligatoirement.


Ces critères sont les suivants :


  • Évaluation/scoring (y compris le profilage) ;
  • Décision automatique avec effet légal ou similaire ;
  • Surveillance systématique ;
  • Collecte de données sensibles ou données à caractère hautement personnel ;
  • Collecte de données personnelles à large échelle ;
  • Croisement de données ;
  • Personnes vulnérables (patients, personnes âgées, enfants, salariés, etc.) ;
  • Usage innovant (utilisation d’une nouvelle technologie) ;
  • Exclusion du bénéfice d’un droit/contrat.

     

Des exemples de cas où l’AIPD est nécessaire ?

 

  • Un système de cybersurveillance des employés : dans ce cas, 2 critères sont réunis : la surveillance systématique et les personnes vulnérables
  • Le traitement par un hôpital des données génétiques et de santé de ses patients : 3 critères sont ici réunis : le traitement de données sensibles, les personnes vulnérables et le traitement à grande échelle
  • Contre-exemple : les traitements de données « de patients ou de clients par un médecin, un autre professionnel de la santé ou un avocat exerçant à titre individuel » ne nécessitent pas obligatoirement une analyse d’impact pour la protection des données (considérant 91 du RGPD).

     

 
 

Que contient l’analyse d’impact sur la protection des données ?

 

Le règlement prévoit également ce que doit contenir une étude d’impact. Il s’agit à minima des points suivants :

 

Une étude du contexte du traitement

 

L’étude consiste en une description du traitement (contexte, finalité, acteurs…), un assemblage des référentiels applicables (code de conduites, certification…), une description des données personnelles collectées, des destinataires de la donnée, des durées de conservation, etc.

 

Une étude des principes fondamentaux

 

Une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités poursuivies doit être faite. En parallèle, le respect des autres principes fondamentaux est vérifié. Il s’agit des principes de licéité, de conservation ou encore du maintien de la qualité des données.

 

La transparence est également un élément à prendre en considération. C’est pourquoi une analyse des mentions d’information doit être réalisée.

 

D’autres mesures sont à étudier comme les droits des personnes concernées ou le recueil du consentement.

 

Une étude des risques liés à la sécurité des données

 

Il convient ici d’apprécier les risques sur les données, en particulier les atteintes possibles à la vie privée, et d’évaluer les mesures existantes ou prévues pour pallier lesdits risques.

 

Une synthèse

 

Une synthèse doit être rédigée à la fin de l’étude d’impact. Elle contient une cartographie des risques, un plan d’action comprenant les mesures à effectuer, le responsable de sa mise en œuvre, son coût et son échéance prévisionnelle. Les conseils de la personne en charge de la protection des données (en général, le Délégué à la protection des données) peuvent être collectés.

 

AIPD RGPD


Faut-il transmettre son analyse d’impact à la CNIL ?

 

L’étude d’impact résultant de l’AIPD ne doit être transmise à la CNIL que dans quelques cas précis :

 

    • S’il apparait que le niveau de risque résiduel reste élevé, c’est-à-dire lorsque l’analyse d’impact menée par le responsable du traitement révèle que des risques subsistent malgré les mesures de sécurité prévues. Dans ce cas, la CNIL doit être consultée préalablement à la mise en œuvre du traitement. Si l’autorité estime que le traitement n’est pas conforme au RGPD, en particulier si le responsable n’a pas suffisamment identifié ou atténué le risque inhérent au traitement, cette dernière dispose alors d’un délai de huit semaines (pouvant être prolongé de six semaines si la complexité du traitement l’exige) pour conseiller par écrit le responsable du traitement de données.
  • Quand la législation nationale d’un État membre l’exige

 

Par ailleurs, l’étude d’impact devra être présentée à la CNIL en cas de contrôle.

 

Quand faut-il refaire une AIPD ?

 

Les conclusions tirées d’une analyse d’impact sont limitées dans le temps. En effet, l’AIPD (ou PIA) est à réaliser de nouveau en cas de modification du traitement ou, à défaut, tous les trois ans.

 

Ce caractère régulier de l’analyse d’impact renforce son rôle comme outil au service de l’entreprise. Certes, l’analyse d’impact est également une contrainte et une obligation réglementaire.

 

Néanmoins, en tant que projet récurrent et de long terme, qui embarque les équipes et analyse finement les enjeux des traitements réalisés, l’AIPD se révèle être également un moyen d’améliorer l’efficacité des process en interne et de mieux mesurer l’impact des projets de transformation. 

Partager l'article