Extrait de l’ouvrage de Bruno DUMAY : RGPD DÉCRYPTAGE – Pour les Dirigeants, les Directions Stratégiques et les collaborateurs des entreprises et des organisations – Préface de Gaëlle MONTEILLER

Il est possible que l’« analyse d’impact relative à la protection des données » (AIPD) devienne le symbole du RGPD (on parle en anglais de DPIA, Data Protection Impact Assessment, ou, en abrégeant, de PIA, Privacy Impact Assessment). Elle est en tout cas l’outil choisi pour responsabiliser les entreprises et les empêcher d’agir au détriment des citoyens consommateurs. En exigeant un travail préalable à toute opération de traitement de données, et, le cas échéant, une consultation de l’autorité de contrôle, elle offre une garantie sérieuse de respect de la vie privée. 

Une analyse d’impact est nécessaire, avant le traitement, « lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques » (art. 35-1). Il est précisé qu’une analyse peut porter sur plusieurs traitements similaires qui présentent le même type de risques élevés. On peut déduire de ces dispositions que s’il n’y a pas de « risque élevé » et/ou si une analyse a déjà été effectuée pour des opérations similaires, l’analyse n’est pas obligatoire (de même quand le traitement est lié à une mission d’intérêt public, exception déjà signalée).

La notion de « risque élevé » n’est pas expressément définie, mais la CNIL précise celle de « risque sur la vie privée ». Il s’agit d’« un scénario décrivant : un événement redouté (accès non autorisé, modification non désirée ou disparition de données, et ses impacts potentiels sur les droits et libertés des personnes) ; toutes les menaces qui permettraient qu’il survienne. Il est estimé en termes de gravité et de vraisemblance. La gravité doit être évaluée pour les personnes concernées, et non pour l’organisme ». C’est suffisamment vague et large pour considérer que le risque sur la vie privée, donc élevé, correspond à de nombreuses opérations de traitement.

L’article 35-4 prévoit que l’autorité de contrôle publiera une liste d’opérations pour lesquelles une analyse est requise. En attendant, le G29 a mixé différents points du RGPD pour aboutir à une liste de 9 critères (lignes directrices du 4 avril 2017, modifiées le 4 octobre 2017), pouvant laisser penser qu’une opération de traitement est susceptible d’engendrer un risque élevé :

– « évaluation ou notation, y compris les activités de profilage ou de prédiction, portant notamment sur des “aspects concernant le rendement au travail de la personne concernée, sa situation économique, sa santé, ses préférences ou centres d’intérêt personnels, sa fiabilité ou son comportement, ou sa localisation et ses déplacements” (considérants 71 et 91”) » ;

– « prise de décisions automatisée avec effet juridique ou effet similaire significatif » ;

– « surveillance systématique » ;

– « données sensibles ou données à caractère hautement personnel ». Cela peut être des informations concernant les opinions politiques, des condamnations pénales, des dossiers médicaux, mais aussi, dit le G29, des courriers électroniques, des agendas, des notes. Si des données de ce type ont été rendues publiques par l’intéressé, il en sera tenu compte ;

– « données traitées à grande échelle ». La notion de grande échelle n’est pas précisée, mais le GT29 recommande de prendre en compte le nombre de personnes concernées, le volume de données, la durée et l’étendue géographique du traitement ;

– « croisement ou combinaison d’ensembles de données » ;

– « données concernant des personnes vulnérables (considérant 75) », c’est-à-dire les enfants, les employés, les personnes souffrant de maladie mentale, les demandeurs d’asile, les personnes âgées, les patients… ;

– « utilisation innovante ou application de nouvelles solutions technologiques ou organisationnelles ». Le G29 cite notamment l’utilisation combinée de la reconnaissance des empreintes digitales et de la reconnaissance faciale, ou encore l’internet des objets ;

– traitements qui « empêchent les personnes concernées d’exercer un droit ou de bénéficier d’un service ou d’un contrat ». Le G29 donne l’exemple d’une banque qui passerait ses clients au crible d’une base de données de cote de crédit avant d’arrêter ses décisions d’octroi de prêt.

Le G29 estime qu’un traitement correspondant à deux de ces neuf critères nécessite une AIPD (même si un seul critère peut suffire). La CNIL fournit un exemple : « une entreprise met en place un contrôle de l’activité de ses salariés, ce traitement remplit le critère de la surveillance systématique et celui des données concernant les personnes vulnérables, donc la réalisation d’une AIPD sera nécessaire ».

L’analyse doit au moins contenir : une description des opérations envisagées ainsi que des finalités du traitement, l’indication de la proportionnalité des premières par rapport aux secondes, une évaluation des risques pour les droits et libertés des personnes concernées, les mesures envisagées pour faire face aux risques. La CNIL fait reposer l’analyse d’impact sur deux piliers : une évaluation plus juridique concernant les principes « non négociables », et une étude plus technique sur les mesures envisagées pour protéger les données. Elle suggère dans ses guides DPIA (en cours de révision) d’appliquer le plan du RGPD (indiqué au début de ce paragraphe) ; lorsqu’ils seront mis à jour, ils seront sans doute des outils utiles à tous ceux qui auront besoin d’élaborer un tel document.

La question se pose de savoir si une analyse d’impact est nécessaire pour les traitements déjà mis en œuvre au 25 mai 2018. Le RGPD ne répond pas, mais la CNIL le fait. « Une étude d’impact ne sera pas exigée pour : les traitements qui ont fait l’objet d’une formalité préalable auprès de la CNIL avant le 25 mai 2018 ; les traitements qui ont été consignés au registre d’un correspondant “informatique et libertés” ». Au bout de 3 ans cependant, les traitements régulièrement mis en œuvre devront être soumis à une analyse d’impact, toujours en cas de « risque élevé » pour les personnes concernées.  

Au bas de ces indications, la CNIL ajoute la phrase suivante : « La réalisation d’un DPIA constitue, dans tous les cas, une bonne pratique facilitant la démarche de mise en conformité avec les conditions de fond prévues par le RGPD ». La CNIL étant en France l’autorité de contrôle, on ne saurait négliger ce conseil en terme de bonne pratique. D’autant que le G29 affirme : « En cas de doute quant à la nécessité d’effectuer une AIPD, dans la mesure ou les AIPD sont un outil important pour les responsables du traitement aux fins du respect de la législation sur la protection des données, le G29 recommande d’en effectuer une malgré tout ». Le groupe de travail européen ajoute enfin que l’AIPD est obligatoire lorsque « les risques associés ont évolué ».

De même, ses indications quant aux professionnels devant participer à la réalisation de l’analyse d’impact ne sont pas inutiles : le responsable du traitement (qui en est le responsable), le sous-traitant s’il y en a un, le délégué à la protection des données (nous allons voir qui il est), les maîtres d’ouvrage et maîtres d’œuvre, le responsable de la sécurité des systèmes d’informations, ainsi que, éventuellement, les personnes concernées, qui peuvent être consultées pour avis par le biais d’un questionnaire.

C’est l’article 35-7 du RGPD qui définit le contenu minimal d’une analyse d’impact :

– une description systématique des opérations envisagées et des finalités du traitement ;

– une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités ;

– une évaluation des risques pour les droits et libertés des personnes concernées ;

– les mesures envisagées pour faire face aux risques et apporter la preuve du respect du règlement.

Le G29 fournit en annexe de son analyse sur l’AIPD des exemples de méthodologie. La CNIL vient de publier des guides avec une méthode et un catalogue de bonnes pratiques, ainsi qu’un logiciel open source PIA. Il n’y a donc plus aucune excuse pour ne pas se conformer aux nouvelles obligations.

Une fois l’analyse d’impact achevée, soit le traitement peut commencer, soit le responsable du traitement doit consulter l’autorité de contrôle « préalablement au traitement lorsqu’une analyse d’impact relative à la protection des données effectuée au titre de l’article 35 indique que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque » (art. 36-1). L’alinéa 2 du même article stipule que, dans le cas d’une telle consultation préalable, l’autorité de contrôle dispose de 8 semaines (+6 en cas de complexité) pour rendre son avis.

L’analyse d’impact peut être publiée, dans le but de renforcer la confiance dans l’entreprise, mais ce n’est pas une obligation.

L’absence d’étude d’impact ou une étude réalisée de manière incorrecte peuvent entraîner une amende d’un montant pouvant aller jusqu’à 10 millions d’euros ou, pour une entreprise, 2 % du chiffre d’affaires mondial, le montant le plus élevé étant retenu.