AIPD : il est temps de s’y mettre !

En tant que responsable de traitements, vous avez dû mettre en place plusieurs chantiers depuis l’entrée en application du règlement général sur la protection des données personnelles (RGPD). Souvent dans l’urgence, les premières actions consistaient à déterminer des durées de conservation à vos traitements, assurer leur sécurité, commencer un registre des traitements, encadrer vos transferts, signer des avenants RGPD avec vos sous-traitants… Pour les traitements faisant l’objet d’une déclaration/autorisation CNIL, le chantier n’était pas urgent : en effet, vous disposiez d’un délai de 3 ans après l’entrée en application du RGPD pour vous mettre en conformité vis-à-vis de votre obligation « d’analyse d’impact » sur ces traitements. Aujourd’hui, il ne vous reste plus que quelques semaines pour être conforme, et l’analyse d’impact devient votre priorité.

En principe, tous traitements de données personnelles présentant « un risque élevé » pour les droits et libertés des personnes, doit faire l’objet d’une analyse d’impact préalable (en anglais : Privacy Impact Assessment - PIA) conformément aux articles 35 et suivants du Règlement Général sur la protection des Données à caractère personnel (RGPD). Pour les traitements déjà mis en œuvre et qui bénéficiaient d’une dispense de déclaration : la CNIL instaure un délai supplémentaire de trois ans pour la réalisation des Analyse d’Impact relative à la Protection des Données personnelles (AIPD). L’AIPD un processus classique, inspiré de la méthode EIBOS (Expression des Besoins et Identification des Objectifs de Sécurité) de l’ANSSI (Agence Nationale pour la Sécurité des Systèmes Informatiques) qui se découpe en plusieurs étapes : description du traitement/évaluation de la nécessité et de la proportionnalité du traitement/gestion des risques pour les droits et libertés des personnes. L’analyse d’impact est prévue à l’article 35 du Règlement Général sur la protection des Données à caractère personnel (RGPD), elle oblige le responsable de traitement à analyser les traitements qui, en particulier par le recours à de nouvelles technologies, et compte tenu de leur nature, leur portée, de leur contexte et de leurs finalités, sont susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques. Cette nouveauté instaurée par le RGPD vient illustrer le principe « d’accountability » incombant aux responsables de traitement (principe de responsabilité). En effet, l’AIPD permet de démontrer que des mesures appropriées ont été prises pour assurer la conformité au RGPD.

La réalisation d’une AIPD doit être préalable à la mise en œuvre du traitement, ou, pour les cas des anciennes dispenses, être mises en route avant la date butoir instaurée par la CNIL, soit le 25 mai 2021. En effet, beaucoup de traitements à haut risque avait fait l’objet d’une autorisation préalable auprès de la CNIL avant l’application du RGPD. L’ancien G29 (groupement des autorités de contrôle européennes) rappelle que les traitements qui ont déjà fait l’objet de formalités préalables auprès des autorités de contrôles, ne nécessitent pas d’AIPD. Mais la CNIL a cependant souligné que cette dispense était limitée à une période de 3 ans à partir de l’application du RGPD, soit jusqu’au 25 mai 2021. L’analyse d’impact est facultative dans la mesure où tous les traitements de données personnelles ne doivent pas nécessairement subir une AIPD. Elle n’est obligatoire que pour les traitements présentant un haut risque. Certaines opérations requièrent obligatoirement une AIPD : la CNIL a d’ailleurs publié une liste des traitements pour lesquels une AIPD est obligatoire. Par exemple, les traitements de données de santé mis en œuvre par les établissements de santé ou les établissements médico-sociaux pour la prise en charge des personnes, ou encore, les traitements portant sur des données génétiques de personnes vulnérables (patients, employés, enfants…) etc. La CNIL a également publié une liste de traitements pour lesquels une AIPD n’est pas obligatoire. Par exemple, les traitements mis en œuvre uniquement à des fins de ressources humaines pour la seule gestion du personnel des organismes qui emploient moins de 250 personnes, ou encore, les traitements mis en œuvre par les avocats dans le cadre de l’exercice de leur profession à titre individuel.

Pour les traitements ne figurant pas dans l’une ou l’autre de ces listes éditées par la CNIL, il convient d’analyser les critères du traitement pour vérifier s’il remplit au minimum deux des 9 critères des lignes directrices de l’ancien G29 :

1. Evaluation/scoring (y compris le profilage) notamment sur des « aspects concernant le rendement au travail de la personne concernée, sa situation économique, sa santé, ses préférences ou centres d’intérêt personnels, sa fiabilité ou son comportement, ou sa localisation et ses déplacements » (considérants 71 et 91 du RGPD).

2. Décision automatique avec effet légal ou similaire : le traitement pourrait, par exemple, entraîner l’exclusion ou une discrimination d’un personne physique.

3. Surveillance systématique : traitement utilisé pour observer, surveiller ou contrôler les personnes concernées, y compris la collecte de données via des réseaux ou par «la surveillance systématique […] d’une zone accessible au public» (article 35 RGPD).

4. Données sensibles ou hautement personnelles : données visées à l’article 9 du RGPD (donnée de santé, informations concernant les opinions politiques, etc.) et à l’article 10 (condamnations pénales).Ainsi que les données de localisation, financières, etc…

5. Collecte à large échelle : pour déterminer si le traitement est à grande échelle, il faut prendre en compte le nombre de personnes concernées, le volume de données, la durée du traitement et l’étendue géographique du traitement.

6. Croisement des données : un croisement peut être issu de deux opérations de traitement de données effectuées pour des finalités différentes ou pour des responsables de traitement différents.

7. Personnes vulnérables : les enfants, les employés, les patients, et, en tout état de cause, toutes autres personnes pour lesquelles un déséquilibre dans la relation avec le responsable du traitement peut être identifié.

8. Usage innovant : par exemple, l’utilisation de systèmes de reconnaissance des empreintes digitales et de reconnaissance faciale pour améliorer des accès physiques.

9. Exclusion d’un bénéfice d’un droit/contrat : ces traitements incluent notamment les opérations visant à autoriser, modifier ou refuser l’accès à un service ou la conclusion d’un contrat. En principe, si un traitement satisfait à deux critères ou plus, il nécessite une AIPD.

Lorsqu’une analyse d’impact est requise, la CNIL vous propose une boite à outils pour réaliser votre AIPD. Elle met également à disposition un logiciel open source pour faciliter la conduite et la formalisation de votre analyse. A minima, et selon les dispositions de l’article 35 du RGPD, une AIPD doit contenir :

• une description systématique des opérations de traitement envisagées et les finalités du traitement, y compris, le cas échéant, l'intérêt légitime poursuivi par le responsable du traitement ;

• une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités ;

• une évaluation des risques sur les droits et libertés des personnes concernées ;

• les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du règlement.

Enfin, si à la suite de votre AIPD, vous constatez l’existence d’un risque résiduel élevé, l’article 36 du RGPD vous impose de consulter préalablement la CNIL. En pratique, cela implique que le risque vous identifiez ne peut être atténué par des moyens raisonnables compte tenu des techniques disponibles et des coûts de mise en œuvre.

Les violations des dispositions de l’article 35 relatives à l’analyse d’impact sont sanctionnées par une amende administrative pouvant s’élever jusqu’à 10 000 000 euros ou 2 % de votre chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.

Aurélie PUIG