Force est de constater que quelques notions mises en avant dans le RGPD ne sont pas d’un abord évident, pour les entreprises qui envisagent de s’y intéresser afin de déterminer si elles peuvent, ou non, se mettre en conformité, sans solliciter d’intervention extérieure, que ce soit de la part d’un avocat ou d’un consultant technique.

 

L’AIPD (l’Analyse d’impact relative à la protection des données) ou DPIA (Data Protection Impact Assessment) fait, à tort ou à raison, partie de ces notions.

 

Parce que ce « que l’on conçoit bien s’énonce clairement… », il n’y avait pas de raison pour que les mots pour décrire cette mesure ne se trouvent pas simplement.

 

Essayons donc de décrire, avec des mots « simples », cette mesure qui fait tant parler les experts.

 

Une AIPD pour quoi faire ?

 

Les traitements (et plus particulièrement les logiciels) qui collectent des données personnelles peuvent présenter des risques élevés pour la vie privée des utilisateurs desdits services.

 

L’étude d’impact vise à identifier, dans un premier temps, quels sont les types de risques associés à ces nouveaux services, afin de déterminer si ces risques sont  élevés ou non pour la vie privée des utilisateurs, sachant que plusieurs facteurs influeront sur l’analyse de la dangerosité d’un traitement.

 

Le fait de savoir si une analyse d’impact s’impose à un nouveau traitement devient, depuis la mise en application du RGPD, un passage obligé avant même de lancer le service et donc de collecter des données personnelles.

 

Apprécier les risques sur la vie privée implique, de s’assurer que les grands principes tels que la minimisation et le consentement à la collecte des données ont été respectés (aspects juridiques), avant d’évaluer chaque risque et d’estimer leur vraisemblance et leur gravité selon les impacts potentiels sur les droits et libertés, les données traitées, les sources des risques et les vulnérabilités des supports de données.

 

Une fois des risques élevés « pour la vie privée des utilisateurs » identifiés, des mesures techniques et organisationnelles doivent être déterminées jusqu’à ce que les risques soient réduits à un niveau acceptable.

 

Si réduire les risques résiduels ne semble pas possible malgré les moyens envisagés, la CNIL doit être consultée avant la mise en œuvre du traitement.

 

La CNIL sollicitée, parce qu'elle le vaut bien

 

Lorsque le responsable de traitement ne parvient pas à identifier des mesures suffisantes pour réduire les risques à un niveau acceptable et que les risques résiduels demeurent élevés, la consultation de l’autorité nationale de contrôle devient obligatoire.

 

La CNIL peut, alors, fournir un avis écrit (ce qu’elle ne fera que si le traitement ne respecte pas les dispositions du règlement et qu’il convient donc de procéder à des modifications substantielles préalables). Elle veillera à protéger le secret des affaires et à ne pas divulguer de vulnérabilités dans la sécurité.

 

S’il existe un doute sur le fait de réaliser ou non une AIPD, l’arbitrage sera en faveur d'en réaliser une. D’aucuns disent que : « Le doute profite à l’analyse ».

 

Etudier toujours, analyser parfois !

 

De façon générale, il faut que le responsable de traitement (aidé en cela par le Délégué à la protection des données (s’il y en a un dans l’entreprise) et en accord et en concertation avec le RSSI ou CTO de l’entreprise) explique et documente sa décision :

 

  • D’exclure qu’une analyse soit nécessaire
  • D’en réaliser une
  • D’en réaliser et de la transmettre à la CNIL

 

Il est, en effet, de la responsabilité du Délégué à la protection des données de vérifier l’exécution de l’AIPD (article 39.1.c du RGPD).

 

Le sous-traitant qui, par exemple, fournit le logiciel utilisé par le Responsable du traitement est tenu de collaborer et de transmettre toutes les informations nécessaires (article 28.3.f).

 

Comment se présente l’analyse d’impact ?

 

C’est sur ce point que cela devient très intéressant.

 

L’article 35.7 et les considérants 84 et 90 du RGPD prévoient notamment que l’AIPD contient au moins :

a) une description systématique des opérations de traitement envisagées et des finalités du traitement, y compris, le cas échéant, l'intérêt légitime poursuivi par le responsable du traitement ;

b) une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités ;

c) une évaluation des risques pour les droits et libertés des personnes concernées conformément au paragraphe 1 ; et

d) les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du présent règlement, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes affectées.

 

Mis à part ces pré-requis en termes de contenu, le RGPD permet au responsable de traitement de déterminer seul, la structure et donc la forme précises de l’AIPD.

 

La CNIL a mis en place un logiciel qu’il est vivement conseillé d’utiliser dans les 3 cas prévus par le RGPD à savoir :

 

  • En cas de contrôle de la CNIL et demande de cette dernière de transmission du document
  • En cas de demande de la CNIL indépendamment de tout contrôle sur place
  • En cas de risques résiduels élevés et pour consultation de la CNIL

 

Il ne vous restera plus qu’à faire le plus compliqué, à savoir de déterminer avec précision, le contenu de cette analyse, si tant est que celle-ci soit vraiment nécessaire.

 

Une forme libre, mais une étude solide

 

Parce qu’il s’agira dans ces différentes hypothèses d’être en mesure d’expliquer à la CNIL avec précision :

 

  • pour quelles raisons vous avez estimé qu’il n’était pas nécessaire de mettre en œuvre une analyse d’impact pour tel ou tel traitement
  • pour quelles raisons vous l’avez établie sans juger utile de la lui transmettre
  • ou encore quels sont les risques résiduels que vous jugez tels qu’ils devaient donner lieu à transmission pour avis de sa part avant mise en œuvre du traitement…

 

…il vous faudra absolument bénéficier d’éclairages juridiques et techniques internes et externes, faute de quoi le risque de vous voir infliger une amende pour manquements aux dispositions relatives aux analyses d’impact (jusqu'à 10 000 000 euros ou, dans le cas d'une entreprise, jusqu'à 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent) sera réel.

 

Une analyse d’impact qui n’en a que l’apparence risque de ne pas être considérée comme telle, faute de procéder aux yeux de la CNIL d’une véritable estimation juridique et technique du traitement entrepris.

 

Il en sera de même d’un arbitrage non étayé selon lequel une AIPD ne s’imposait pas au traitement au cœur du débat ainsi que de celui, tout aussi peu développé, consistant à dire qu’il y avait certes un risque élevé, mais pas de ceux qui nécessitaient que la CNIL soit consultée avant la mise en œuvre du traitement.

 

En ce sens, sachez que le RGPD a demandé aux autorités nationales de contrôle d'établir une liste de traitements pour lesquels une AIPD est requise (article 35.4) et en France, la CNIL a établi cette liste, dans le cadre de sa délibération n° 2018-327 du 11 octobre 2018 relative aux types d'opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données est requise, après prise en compte de l'avis rendu par le CEPD le 25 septembre 2018.

 

Cette liste a néanmoins un caractère non-exhaustif et vous obligera donc à l’interpréter avec toutes les réserves que cette précision implique.

 

Vous voilà prévenus…


Réalisation & référencement Créer un site internet d'avocat

Connexion

En poursuivant votre navigation sur ce site, vous acceptez l'installation et l'utilisation de cookies sur votre poste, notamment à des fins d'analyse d'audience, dans le respect de notre politique de protection de votre vie privée.