L'EditoAnalyse d’impact : comment savoir que mon traitement présente un risque ?

9 mai 2019
logo_sticky
Analyse d’impact : comment savoir que mon traitement présente un risque  ?

L’article 35 du RGPD impose au responsable de traitement la conduite d’une analyse d’impact sur la protection des données (AIPD)ès lors que le traitement qu’il veut mettre en œuvre est «susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques». Or comment savoir, avant même sa mise en œuvre, que le traitement est susceptible d’engendrer un tel risque ? Quels sont les critères qu’il faut prendre en compte ?

Aujourd’hui, grâce aux lignes directrices de la CNIL et du G29 (voir tableaux ci-contre), un responsable de traitement est en mesure d’identifier les traitements qui sont présumés engendrer un risque élevé pour les droits et libertés. Pour ces traitements, l’AIPD est obligatoire (art. 35 RGPD).  Nous renvoyons au tableau ci-dessous afin de faciliter la lecture des critères :

Analyse d’impact obligatoire

Le traitement figure sur la liste de la CNIL relative aux traitements pour lesquels une AIPD est obligatoire.

Le traitement remplit 2 critères sur 9 du G29.

Malgré le fait que le traitement remplisse 1 critère G29, le responsable de traitement considère qu’il fait peser un risque.

En cas de doute, même si le traitement ne remplit aucun critère.

Le traitement relève de l’article 54 III (relatif aux données de santé) de la Loi informatique et libertés : lorsque le responsable de traitement saisit la CNIL d’une demande d’autorisation, il doit également fournir une AIPD.

Analyse d’impact non obligatoire

Le traitement figure sur la liste de la CNIL relative aux traitements pour lesquels une AIPD n’est pas obligatoire.

Malgré le fait que le traitement remplisse 2 critères sur 9 du G29, le responsable de traitement est en mesure de prouver, avis de son DPO à l’appui, que le traitement ne présente pas un risque

Le traitement remplit un seul critère G29 et ne semble pas représenter un risque

Le traitement ne remplit aucun des 9 Critères.

Le traitement répond à une obligation légale ou est nécessaire à l’exercice d’une mission de service public sous réserve qu’il a «une base juridique dans le droit national ou de l’UE, que ce droit le réglemente et qu’une AIPD a déjà été menée lors de l’adoption de cette base juridique».

Le traitement est similaire (au regard de sa nature, sa portée, son contexte, ses finalités) à un traitement pour lequel une AIPD a déjà été menée par le responsable de traitement.

Capture d’écran 2019-05-09 à 18.32.44

Les 9 critères G29 :

  • Evaluation, Notation (y compris profilage).
  • Prise de décision automatisée avec effet juridique ou effet similaire significatif.
  • Surveillance systématique.
  • Données sensibles ou données à caractère hautement personnel.
  • Données traitées à grande échelle.
  • Croisement ou combinaison de données.
  • Utilisation innovante ou application de nouvelles solutions technologiques ou organisationnelles.
  • Exclusion du bénéfice d’un droit / d’un contrat.

Cas particulier du traitement pour lequel une AIPD a été réalisée par un tiers.

Si le traitement est similaire (au regard de sa nature, sa portée, son contexte, ses finalités), à un traitement pour lequel une AIPD a déjà été menée par un tiers, le responsable de traitement concerné ne doit pas réaliser une nouvelle AIPD. En revanche, il a une obligation de transposition de cette AIPD à sa situation particulière.

Les points à retenir concernant l’analyse d’impact.

Le RGPD prévoit plusieurs analyses de risques : peuvent-elles se recouper ? Selon les articles 33 et 34, le responsable de traitement doit notifier une violation de données à la CNIL ou à la personne concernée lorsque la violation est susceptible d’engendrer un risque (art. 33), ou un risque élevé (art. 34), pour les droits de la personne concernée. Selon l’article 35, le responsable de traitement doit réaliser une AIPD lorsque le traitement envisagé est susceptible d’engendrer un risque élevé pour les droits de la personne concernée. Le responsable de traitement est donc amené à réaliser plusieurs analyses de risques lorsqu’il met en œuvre le RGPD. Ces analyses sont-elles équivalentes ? Ou autrement dit, est-ce que la conduite d’une seule analyse de risques suffit pour que le responsable de traitement soit en conformité avec les articles 33, 34 et 35 du règlement ?

Pas tout à fait. L'analyse de risques de l'art. 35 doit être réalisée avant le traitement ; l'analyse de risques de l'art. 33 et de l'art. 34 doit être réalisée en cas de violation de données à caractère personnel: elle est donc centrée sur la violation précise qui a eu lieu et sur ses conséquences. Les deux analyses ne se confondent donc pas même si certains éléments peuvent se recouper comme le rappelle le G29 dans ses lignes directrices sur la notification de violation de données: «(.) Une AIPD est néanmoins plus générale que les circonstances spécifiques de toute violation réelle. Aussi une évaluation complémentaire tenant compte des circonstances devra-t-elle être réalisée en tout état de cause [en cas de violation des données]».

Un responsable de traitement qui ne réalise pas une AIPD alors que cela était obligatoire, ou qui ne justifie pas correctement de cette non-réalisation, manque à ses obligations (et notamment l'art. 35 1°, 3° et 4° du RGPD).  Il est donc susceptible de sanctions selon l’art. 45 de la Loi informatique et libertés et l’article 83 (4) (a) RGPD.

Les sanctions peuvent aller jusqu’au prononcé d’une amende administrative, dont le montant peut s’élever jusqu’à 10 millions d’euros ou jusqu’à 2 % du chiffre d'affaires annuel mondial total de l’entreprise de l’exercice précédent, le montant le plus élevé étant retenu.

Les conseils d'ATALEX

Adoptez des bonnes pratiques :

  • Mettez en place, en interne, une procédure d’identification des traitements soumis à AIPD, en utilisant les critères dégagés par la CNIL et le G29 notamment ;
  • Réalisez des audits périodiques sur vos traitements : mettez à jour les finalités lorsque cela est nécessaire, mettez à jour les mesures susceptibles de prévenir les risques identifiés, etc. ;
  • Assurez une veille sur l’AIPD pour ne pas manquer les dernières informations de la CNIL sur la question.

Dans tous les cas, documentez vos choix.