L'analyse d'impact relative à la protection des données
Fiche pratique
INFOREG

Évaluer l’impact de la mise en œuvre d’un traitement de données personnelles est à la fois une nécessité pour préserver la sécurité des produits et un prérequis souvent nécessaire afin d’adopter des mesures adaptées au traitement de données envisagé par le responsable de traitement (RT). 

Qu’est-ce qu’une analyse d'impact relative à la protection des données (AIPD) ? 

L'AIPD est à la fois :

  • un outil d’évaluation de l’impact d’un traitement de données personnelles sur la vie privée ;
  • et un document d’analyse des risques définissant les mesures appropriées lorsqu’un risque élevé est susceptible d’exister pour les droits et les libertés des personnes concernées.

Par cette analyse, l’entreprise va pouvoir construire des traitements de données respectueux de la vie privée et démontrer sa conformité au Règlement général sur la protection des données (RGPD).
Les termes AIPD (Data Protection Impact Assessment) et PIA (Privacy Impact Assessment), sont synonymes.

Qu’est-ce qu’un « risque élevé sur la vie privée » au sens du RGPD ? 

Un « risque sur la vie privée » est un événement redouté sur les données personnelles collectées ayant un impact potentiel sur la vie privée des personnes concernées tel que : 

  • l’atteinte à la confidentialité ;
  • la disponibilité ou l’intégrité des données ;
  • toutes les menaces qui permettraient qu’il survienne.

La gravité est évaluée par rapport à l’impact sur les personnes concernées et en fonction des conséquences pour l’entreprise. 
L’entreprise devra alors être vigilante quant à : 

  • la sensibilité des données personnelles traitées ;
  • au contexte dans lequel sont collectées les données personnelles ;
  • de la ou les finalités poursuivies par le traitement de données personnelles ; 
  • l’importance des sources de risques ;
  • la vulnérabilité des supports utilisés pour la collecte des données personnelles.  

Dans quel cas faire une AIPD ?

Une AIPD est obligatoire : 

  • pour tout traitement présentant un risque élevé pour la vie privée ;
  • pour les traitements reconnus comme à risque, c’est-à-dire : 
    • un traitement évaluant de façon systématique et approfondie des aspects personnels concernant des personnes physiques et l’affectant de manière significative ;
    • un traitement à grande échelle de catégories particulières de données sensibles ou des données personnelles relatives à des condamnations pénales et à des infractions ;
    • la surveillance systématique à grande échelle d’une zone accessible au public. 

Plus précisément, si le traitement de données répond à au moins 2 des critères suivants, une AIPD doit être conduite : 

  • le traitement a recours à l’évaluation ou le scoring d’aspects personnels ou notation de la personne concernées, tels que : le rendement au travail de la personne, sa santé, ses préférences ou centres d’intérêts, sa fiabilité ou son comportement, sa localisation et ses déplacements ;
  • le traitement implique une prise de décision automatisée avec effets significatifs sur la personne concernée tel que la perte d’un droit (refus d’un crédit, refus d’une augmentation, refus d’un poste) ;
  • le traitement implique la surveillance systématique de personnes, tel que télésurveillance ; 
  • le traitement implique la collecte de données sensibles ; 
  • le traitement de données concerne des personnes vulnérables comme les mineurs ; 
  • le traitement implique de traiter à grande échelle des données personnelles ; 
  • le traitement implique le croisement d’ensembles de données ; 
  • le traitement implique l’utilisation d’une technologie innovante, ou l’application de nouvelles solutions technologique telle que l’utilisation d’objets connectés, de systèmes de reconnaissance des empreintes digitales et de reconnaissance faciale ;
  • le traitement en lui-même empêche la personne concernée d’exercer un droit ou de bénéficier d’un service ou d’un contrat.  

En revanche, une AIPD  n'est pas nécessaire lorsque :  

  •  le traitement correspond à l’une des exceptions listées par la CNIL :   https://www.cnil.fr/sites/default/files/atoms/files/liste-traitements-aipd-non-requise.pdf
  •  le traitement ne présente pas de risque élevé pour les droits et libertés des personnes concernées ;
  • le traitement répond à une obligation légale ou est nécessaire à l’exercice d’une mission de service public, sous réserve que : 
    • le traitement ait une base légale dans le droit de l’UE ou le droit de l’État membre ;
    • que ce droit règlemente cette opération de traitement ;
    • et qu’une AIPD ait déjà été menée lors de l’adoption de cette base légale.

Dans tous les cas, mener une AIPD est une bonne pratique que le traitement soit susceptible ou non d’engendrer des risques élevés sur la vie privée. 

En cas de doute sur l’opportunité de mener une AIPD, Il faut la réaliser.

Qui est en charge de l'AIPD ?

L’AIPD doit être effectuée par le RT. 

Si le RT a désigné un DPO, il pourra prendre conseil auprès de lui et le charger de vérifier l’exécution de l'AIPD.

Un document définissant les rôles et responsabilités de chaque intervenant à l’AIPD doit être formalisé.

Si le RT fait appel à un sous-traitant (ST) dans le cadre du traitement, ce dernier devra l’aider dans la réalisation de l’AIPD en lui fournissant toute information nécessaire.

Cette obligation doit être inscrite dans le contrat de sous-traitance entre le RT et le ST. 

Le RT doit également demander l’avis des personnes concernées. Cela peut se faire par le biais d’une enquête, d’un sondage ou  d’une question formelle aux représentants du personnel ou tout autre support permettant de prouver que leurs avis a bien été sollicité.  

En interne, le RT peut demander la participation des équipes en charge de la mise en œuvre du traitement, et de la personne chargée de la sécurité des systèmes d’information afin de participer à la réalisation et la validation de l’AIPD. 

A quel moment effectuer un AIPD ?

L’AIPD doit être réalisée avant la collecte des données, autrement dit avant de mettre en œuvre le traitement. 

Le RT doit évaluer continuellement ses activités du traitement pour être en mesure de détecter l’apparition de risques pour les droits et libertés des personnes concernées, et ce tout au long du cycle de vie du traitement. 

Pourquoi mener une AIPD ?

L’étude d’impact sur la protection des données permet :

  • de mettre en place un traitement de données personnelles ou un produit respectueux de la vie privée ;
  • d’apprécier les impacts sur la vie privée des personnes concernées et gérer les risques sur la vie privées des personnes concernées en conséquence ;
  • de démontrer que les principes fondamentaux du règlement sont respectés ;
  • d’opter pour les modalités de traitement les plus adaptées ;
  • de mettre en place des mesures organisationnelles et techniques appropriées pour protéger les données personnelles et les faire évoluer, si besoin, pour répondre aux exigences du RGPD.

 Il est impératif d’adapter les mesures au risque et au contexte particulier du traitement considéré.

Quelles étapes suivre pour mener à bien une AIPD ? 

L’AIPD doit être documentée et conduire à la mise en place de mesures permettant de limiter les risques pour les droits et libertés des personnes. 

Pour mener à bien une AIPD le RT doit : 

  • étudier le contexte : délimiter et décrire le (les) traitement(s) envisagé(s) et ses finalités, de la collecte à la destruction des données ;
  • étudier les mesures envisagées : identifier et analyser les mesures de sécurité, techniques et organisationnelles prévues, leur nécessité et leur proportionnalité au regard des finalités poursuivies ;
  • étudier les risques : identifier les risques potentiels sur la vie privée liés à la sécurité des données en précisant la gravité des impacts sur les personnes concernées et la vraisemblance des menaces rendant possibles ces violations ;
  • vérifier le traitement des risques : vérifier que les risques identifiés sont convenablement traités en détaillant les mesures envisagées pour faire face aux risques et apporter la preuve du respect du règlement ;
  • valider l’AIPD : formaliser la validation de l’AIPD au regard des éléments précédents ou bien décider de réviser les étapes précédentes, ou solliciter une autorisation auprès de la CNIL.

Fait-il publier l'AIPD ?

L’AIOD peut-être formalisée dans un apport ou sous forme de résumé  pouvant être partagé, publié, communiqué. Cette publication renforce l’image de sérieux de l’entreprise.

Quand faut-il transmettre son AIPD à la CNIL ?

L'AIPD doit être transmise à la CNIL uniquement lorsque :

  • le niveau de risque est élevé ;
  •  la législation nationale d’un État membre l’exige ;
  • la CNIL le demande.

Quelles mesures prendre pour minimiser les risques pour les données personelles traitées ?

Afin de minimiser voir anéantir tout risque pour les données personnelles collectées, le RT doit prendre en compte :

  • avoir une gestion rigoureuse des données traitées : minimiser les données, chiffrer, anonymiser, permettre l’exercice des droits, etc ;
  • envisager toutes les mesures sécuritaire possible : sauvegarder les données, tracer l’activité, gérer les violations de données, contrôler les accès, gérer les tiers, lutter contre les codes malveillants etc ;
  • gérer les supports de collecte des données personnelles : réduire les vulnérabilités des matériels, logiciels, réseaux, documents papier etc.

Quel est le montant des sanctions prévues par le règlement en cas de manquements aux dispositions relatives aux analyses d'impact ?

Pour une entreprise, le montant des sanctions pécuniaires peut aller jusqu'à 4 % du chiffre d'affaires annuel mondial. 
 

Document rédigé par les juristes du réseau EEN (Enterprise Europe Network)

Mis à jour le 07/12/2021