logiciel rgpd

AIPD et RGPD : Quand l’AIPD est-elle obligatoire ?

RGPDSeptember 2, 2022

L’Analyse d’Impact sur la Protection des Données (AIPD) est un outil clé du RGPD (article 35), conçu pour évaluer les risques associés à des traitements de données susceptibles de porter atteinte aux droits et libertés des personnes concernées. Elle aide à identifier et à minimiser ces risques en amont.

Quand une AIPD est-elle obligatoire ?

Le RGPD impose la réalisation d’une AIPD lorsqu’un traitement présente un risque élevé pour les droits et libertés des individus. Cela inclut, mais ne se limite pas à, des scénarios où le traitement :

Implique une évaluation systématique et approfondie des aspects personnels des individus :

Exemples : profilage ou prise de décision automatisée ayant un impact significatif sur les personnes.

Traite des catégories particulières de données à grande échelle :

  • Données sensibles (santé, origine raciale, opinions politiques, etc.).

  • Données relatives à des infractions ou condamnations pénales.

Implique une surveillance systématique à grande échelle d’une zone accessible au public :

Exemple : vidéosurveillance dans des espaces publics.

Utilise des technologies innovantes :

Exemples : reconnaissance faciale, intelligence artificielle, objets connectés.

Combine ou croise plusieurs ensembles de données pour des finalités nouvelles.

Les critères retenus par le RGPD pour l’AIPD

Les autorités de contrôle du RGPD au niveau européen (dont la CNIL) ont établi 9 critères qui permettent de déterminer si un traitement doit ou non faire l’objet d’une AIPD :

  1. Evaluation/scoring : C’est le cas par exemple d’une évaluation de la capacité de paiement d’un prospect ou client ;

  2. Décision automatique avec effet légal ou similaire : lorsqu’une décision avec effet légal ou similaire (qui peut donc être les conditions d’application d’un contrat, par exemple) est prise sans intervention humaine ;

  3. Surveillance systématique : ici, ce n’est pas tant la nature de la collecte que son caractère systématique qui est visé ;

  4. Données sensibles (comme les données de santé) ou hautement personnelles (les données hautement personnelles sont par exemple des données de géolocalisation) ;

  5. Collecte à large échelle ;

  6. Croisement de données : l’utilisation de plusieurs jeux de données et l’établissement de recoupements entre eux augmente les risques d’exposer les informations contenues dans l’ensemble des jeux de données utilisés ;

  7. Personnes vulnérables : il s’agit des personnes vulnérables par nature (personnes âgées, enfants…) ou en fonction de leur situation (patients…) ;

  8. Usage innovant : utilisation d’une nouvelle technologie qui nécessite donc un encadrement plus attentif ;

  9. Exclusion du bénéfice d’un droit ou d’un contrat (suite à la collecte et au traitement des données)

Ainsi, le DPO doit déterminer si le traitement de données considéré répond à un ou plusieurs critères de la liste ci-dessous. Ensuite, trois cas sont possibles.

D’abord, si le traitement ne répond à aucun critère de la liste, alors une AIPD n’est pas nécessaire. A noter que les traitements doivent tout de même respecter les autres principes du RGPD en matière de protection des données personnelles.

Ensuite, si le traitement répond à deux critères ou plus, alors une AIPD sera toujours requise. Dans ce cas, un logiciel AIPD/PIA peut vous aider à remplir votre AIPD plus efficacement et plus rapidement.

Enfin, si le traitement répond à seulement 1 critère de la liste ci-dessus : dans ce cas, c’est au DPO de trancher. Concrètement, il peut considérer que le traitement présente un risque élevé pour la vie privée des personnes considérées et décider de mener une AIPD. Ou bien, il peut considérer que le traitement ne met pas ou très peu en risque les droits des personnes et se passer de l’AIPD.

Exceptions : Quand une AIPD n’est pas nécessaire ?

Une AIPD n’est pas obligatoire si :

  • Le traitement a déjà été validé comme conforme par une AIPD précédente dans un contexte similaire.

  • Une autorité de protection des données a autorisé le traitement spécifique.

  • Le traitement est inclus dans une liste de traitements exemptés par l’autorité nationale.

Les cas dans lesquels l’AIPD n’est pas obligatoire selon le RGPD

De la même manière, la CNIL a publié une liste des traitements de données ne nécessitant pas de mener une AIPD. Encore une fois, il faut garder à l’esprit que c’est d’abord l’application des critères généraux qui fait foi, avant le recours à ces listes.

On peut néanmoins citer quelques exemples :

1- La plupart des opérations de gestion des ressources humaines “classiques” ne nécessitent pas le recours à une AIPD : on pense à la gestion de la paye, des bulletins de salaire, au remboursement des frais professionnels… Attention, cela concerne uniquement les entreprises de moins de 250 salariés ;

2- De même, les opérations classiques avec un fournisseur ne nécessitent pas l’AIPD : opérations administratives liées aux contrats, établissement des titres de paiement, documentation sur les fournisseurs…

3- Sont également exclus les traitements liés à la gestion quotidienne de l’activité des salariés, sans dispositif biométrique : on pense à la collecte et au traitement nécessaires pour la mise en place d’un badge d’accès aux locaux, ou encore aux dispositifs de contrôle du temps de travail.

Vous pouvez retrouver l’ensemble de la liste ici. A noter que d’autres cas peuvent exister. Quoiqu’il en soit, il est toujours préférable de s’appuyer sur les critères émis par les autorités de contrôle en cas de doute.

La plateforme 100% made in France qui vous permet de simplifier, accélérer et pérenniser vos différents programmes de conformité.

Vous souhaitez rester au courant des dernières actualités ? Abonnez-vous à la newsletter !

Nous (Witik) collectons et traitons vos données conformément à notre Politique de protection des données.