La CNIL a publié en juin 2015 une méthode relative à l’étude d’impact sur la vie privée

La nécessité de prendre en compte les impacts sur la vie privée des personnes, dans le cadre de la collecte de données à caractère personnel ressort de l’article 34 de la loi du 6 janvier 1978 où il est précisé que « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. » Cette nécessité de réaliser une étude d’impact sur la vie privée a également été mise en avant dans le cadre de l’utilisation d’identification par radiofréquence et particulièrement dans une recommandation de la Commission européenne du 12 mai 2009. La Commission définit ainsi le terme RFID comme « l’utilisation d’ondes électromagnétiques rayonnantes ou d’un couplage de champ réactif dans une portion de radiofréquences du spectre pour communiquer vers ou à partir d’une étiquette selon différents schémas de modulation et d’encodage afin de lire, de façon univoque, l’identité d’une étiquette de radiofréquence ou d’autres données stockées sur celle-ci ». Dans cette dernière, la Commission invite les responsables de traitement à mettre en œuvre un cadre d’évaluation de l’impact sur la protection des données et de la vie privée à savoir une évaluation de l’incidence de la mise en œuvre d’une telle technologie et à prendre des mesures techniques et organisationnelles. De manière plus générale, le projet de règlement européen sur les données personnelles du 25 janvier 2012 impose aux responsables de traitement une attitude responsable et particulièrement au titre de son article 22, « la réalisation d’une analyse d’impact relative à la protection des données en application de l’article 33 ». Parallèlement et dans cette lignée, la CNIL a publié une méthode permettant d’expliciter le processus et les raisons de mise en œuvre d’une étude d’impact sur la vie privée. Ces études visent tout traitement de données à caractère personnel ou de produit complexe et a pour objet de prévenir les risques sur la vie privée dans le cadre de la collecte et du traitement de données. Les risques énumérés sont nécessairement l’accès illégitime aux données, le détournement des données, des sollicitations et atteintes à la vie privée… Pour cela, la CNL recommande d’identifier les sources des risques et pour chacun d’entre eux les impacts « sur la vie privée des personnes concernées s’ils survenaient ». La CNIL indique que quatre éléments sont fondamentaux pour se conformer au respect de la vie privée : • « Délimiter et décrire le contexte du traitement considéré • Identifier les mesures existantes ou prévues pour respecter les exigences légales et traiter les risques sur la vie privée • Apprécier les risques sur la vie privée • Prendre la décision de valider la manière dont il est prévu de respecter les principes de protection de la vie privée » Au regard du principe d’accountability et en vue de l’adoption prochaine du règlement européen sur la protection des données à caractère personnelle, les responsables de traitement doivent adopter un comportement responsable et en conformité avec la législation applicable.