AIPD : 5 clés pour comprendre l’analyse d’impact

Qu'est-ce que l'Analyse d'Impact relative à la Protection des Données ?

Lorsqu’un traitement est susceptible d’engendrer un risque pour la vie privée des personnes, le responsable de traitement doit procéder à une analyse d’impact (aussi nommée PIA pour Privacy Impact Assessment ou encore AIPD pour Analyse d’Impact sur la Protection des Données).

L’étude d’impact est un document qui permet, une fois rédigé par le DPO en charge du RGPD, de construire des traitements de données respectueux de la vie privée et de démontrer leur conformité. L’AIPD est aussi un des documents qui doivent être fournis à la CNIL pour justifier que votre entreprise respecte les règles du RGPD.

Quels traitements sont soumis à l’AIPD ?

La CNIL a établi deux listes pour savoir facilement si une étude d’impact AIPD est à réaliser ou non :

• Une liste de traitements exemptés d’analyse d’impact

• Une liste de traitements dont l’étude d’impact est obligatoirement à réaliser

Au-delà de ces listes, le Comité Européen de la Protection des Données (ex-G29), ou CEPD, a établi un ensemble de critères permettant d’identifier les traitements nécessitant une AIPD. Concrètement, si un traitement correspond à deux critères édictés ou plus, alors une analyse d’impact est à réaliser obligatoirement.

Ces critères sont les suivants :

• Évaluation/scoring (y compris le profilage) ;

• Décision automatique avec effet légal ou similaire ;

• Surveillance systématique ;

• Collecte de données sensibles ou données à caractère hautement personnel ;

• Collecte de données personnelles à large échelle ;

• Croisement de données ;

• Personnes vulnérables (patients, personnes âgées, enfants, salariés, etc.) ;

• Usage innovant (utilisation d’une nouvelle technologie) ;

• Exclusion du bénéfice d’un droit/contrat.

Des exemples de cas où l’AIPD est nécessaire ?

• Un système de cybersurveillance des employés : dans ce cas, 2 critères sont réunis : la surveillance systématique et les personnes vulnérables

• Le traitement par un hôpital des données génétiques et de santé de ses patients : 3 critères sont ici réunis : le traitement de données sensibles, les personnes vulnérables et le traitement à grande échelle

• Contre-exemple : les traitements de données « de patients ou de clients par un médecin, un autre professionnel de la santé ou un avocat exerçant à titre individuel » ne nécessitent pas obligatoirement une analyse d’impact pour la protection des données (considérant 91 du RGPD).

Que contient l’analyse d’impact sur la protection des données ?

Le règlement prévoit également ce que doit contenir une étude d’impact. Il s’agit à minima des points suivants :

Une étude du contexte du traitement

L’étude consiste en une description du traitement (contexte, finalité, acteurs…), un assemblage des référentiels applicables (code de conduites, certification…), une description des données personnelles collectées, des destinataires de la donnée, des durées de conservation, etc.

Une étude des principes fondamentaux

Une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités poursuivies doit être faite. En parallèle, le respect des autres principes fondamentaux est vérifié. Il s’agit des principes de licéité, de conservation ou encore du maintien de la qualité des données.

La transparence est également un élément à prendre en considération. C’est pourquoi une analyse des mentions d’information doit être réalisée.

D’autres mesures sont à étudier comme les droits des personnes concernées ou le recueil du consentement.

Une étude des risques liés à la sécurité des données

Il convient ici d’apprécier les risques sur les données, en particulier les atteintes possibles à la vie privée, et d’évaluer les mesures existantes ou prévues pour pallier lesdits risques.

Une synthèse

Une synthèse doit être rédigée à la fin de l’étude d’impact. Elle contient une cartographie des risques, un plan d’action comprenant les mesures à effectuer, le responsable de sa mise en œuvre, son coût et son échéance prévisionnelle. Les conseils de la personne en charge de la protection des données (en général, le Délégué à la protection des données) peuvent être collectés.

Qui doit réaliser l'AIPD ?

Toute organisation traitant des données personnelles qui envisage de mettre en place un nouveau traitement susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques doit réaliser une AIPD. Cela inclut :

• Les entreprises privées, quelle que soit leur taille ;

• Les institutions publiques ;

• Les organismes à but non lucratif.

Les responsables de traitement sont en charge de cette tâche, assistés par le DPO et idéalement, les métiers (maîtrise d’ouvrage), les équipes chargées de la mise en œuvre (maîtrise d’œuvre), et la personne chargée de la sécurité des systèmes d’information. C'est pourquoi il est essentiel de bien choisir son logiciel AIPD afin de maximiser le bon déroulement de cette tâche qui peut s'avérer répétitive.

Faut-il transmettre son analyse d’impact à la CNIL ?

• S’il apparait que le niveau de risque résiduel reste élevé, c’est-à-dire lorsque l’analyse d’impact menée par le responsable du traitement révèle que des risques subsistent malgré les mesures de sécurité prévues. Dans ce cas, la CNIL doit être consultée préalablement à la mise en œuvre du traitement.

• Si l’autorité estime que le traitement n’est pas conforme au RGPD, en particulier si le responsable n’a pas suffisamment identifié ou atténué le risque inhérent au traitement, cette dernière dispose alors d’un délai de huit semaines (pouvant être prolongé de six semaines si la complexité du traitement l’exige) pour conseiller par écrit le responsable du traitement de données.

• Quand la législation nationale d’un État membre l’exige

Par ailleurs, l’étude d’impact devra être présentée à la CNIL en cas de contrôle.

Comment réaliser l'AIPD ?

Sa mise en œuvre est d'autant plus importante lorsque le traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques. Pour vous guider dans cette démarche, voici les étapes à suivre pour réaliser une AIPD efficace et conforme au RGPD :

1. Identification et description du traitement :

   • Objectif du traitement : Définissez clairement l'objectif poursuivi. Pourquoi collectez-vous ces données ? Quelle est leur finalité ?

   • Nature des données : Listez les données traitées, en distinguant les données sensibles (données de santé, données judiciaires, etc.).

   • Flux de données : Tracez le parcours de ces données depuis leur collecte jusqu'à leur suppression.

2. Évaluation de la nécessité et de la proportionnalité :

   • Assurez-vous que le traitement est indispensable pour atteindre l'objectif fixé.

   • Vérifiez que les données collectées sont strictement proportionnelles à l'objectif.

3. Évaluation des risques pour les droits et libertés :

   • Identifiez les risques potentiels liés au traitement, tels que les risques de divulgation, d'altération ou de perte des données.

   • Évaluez la probabilité et la gravité de ces risques pour les personnes concernées.

4. Mise en place des mesures pour atténuer les risques :

   • Mesures techniques : comme le chiffrement, la pseudonymisation ou la mise en place de systèmes de sauvegarde.

   • Mesures organisationnelles : tels que les formations pour le personnel, la rédaction de procédures internes ou encore la mise en place d'un responsable de la protection des données (DPO).

5. Consultation des parties prenantes :

   • Impliquez les personnes concernées ou leurs représentants, le DPO et, si nécessaire, l'autorité de contrôle.

6. Documentation de l'AIPD :

   • Conservez une trace écrite de l'analyse effectuée, des risques identifiés, des mesures adoptées et de tout autre élément pertinent.

7. Revue régulière :

   • L'environnement numérique évoluant rapidement, il est essentiel de revoir périodiquement votre AIPD afin de s'assurer qu'elle reste pertinente et efficace.

Et n'oubliez pas : pour tout traitement de données présentant des risques élevés, une AIPD n'est pas une option, mais une obligation au regard du RGPD ! Assurez-vous donc de sa bonne réalisation.

Quand faut-il refaire une AIPD ?

Les conclusions tirées d’une analyse d’impact sont limitées dans le temps. En effet, l’AIPD (ou PIA) est à réaliser de nouveau en cas de modification du traitement ou, à défaut, tous les trois ans.

Ce caractère régulier de l’analyse d’impact renforce son rôle comme outil au service de l’entreprise. Certes, l’analyse d’impact est également une contrainte et une obligation réglementaire.

Néanmoins, en tant que projet récurrent et de long terme, qui embarque les équipes et analyse finement les enjeux des traitements réalisés, l’AIPD se révèle être également un moyen d’améliorer l’efficacité des process en interne et de mieux mesurer l’impact des projets de transformation. C'est donc pour cela qu'il faut bien choisir son logiciel d'analyse d'impact, alors pourquoi ne pas opter pour Witik ?