Au coeur du Règlement Général sur la Protection des Données (RGPD), la notion de l’Analyse d’Impact sur la Protection des Données (AIPD) est un outil déterminant pour assurer la conformité des traitements de données avec les exigences du RGPD.
En l’absence d’AIDP lorsqu’elle exigée, le montant des amendes peut s’élever jusqu’à 10 000 000 euros ou, dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu (art. 83(4)(a)).
Sommaire
Qu’est-ce que l’AIPD ?
Définition et Objectifs
L’AIPD est une procédure systématique conçue pour évaluer les risques que peuvent présenter certains traitements de données personnelles pour les droits et libertés des individus concernés. Elle est indispensable pour les traitements susceptibles d’engendrer un risque élevé, assurant ainsi une protection renforcée de la vie privée et la conformité au RGPD.
Pourquoi est-elle importante ?
L’importance de l’AIPD réside dans sa capacité à responsabiliser les organismes. Elle leur permet non seulement de concevoir des traitements de données respectueux de la vie privée mais aussi de prouver leur conformité avec le RGPD, une réglementation devenue incontournable dans le paysage numérique européen.
Structure de l’AIPD
L’AIPD se divise en trois sections principales, couvrant à la fois les aspects techniques et opérationnels du traitement des données, l’évaluation juridique de la nécessité et de la proportionnalité, et l’analyse des risques liés à la sécurité des données. Cette structure holistique garantit une approche exhaustive, abordant tous les aspects potentiels du traitement des données personnelles.
Quand est-ce qu’une analyse d’impact n’est pas obligatoire ?
Une AIPD n’est pas nécessaire dans les cas suivants :
- quand le traitement figure sur la liste des exceptions adoptée par la CNIL après consultation du CEPD (Comité européen de protection des données) ;
- quand le traitement ne présente pas de risque élevé pour les droits et libertés des personnes concernées ;
- lorsque la nature, la portée, le contexte et les finalités du traitement envisagé sont très similaires à un traitement pour lequel une AIPD a déjà été menée ;
- quand le traitement répond à une obligation légale ou est nécessaire à l’exercice d’une mission de service public (article 6 du RGPD), sous réserve que les conditions suivantes soient remplies :
- qu’il ait une base légale dans le droit de l’UE ou le droit de l’État membre ;
- que ce droit règlemente cette opération de traitement ;
- et qu’une AIPD ait déjà été menée lors de l’adoption de cette base légale.
Voici la liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données n’est pas requise. Attention : Les traitements, même exonérés d’analyse d’impact, doivent faire l’objet d’une évaluation de leur conformité au RGPD tant sur le plan juridique qu’en matière de sécurité. Conformément aux lignes directrices du CEPD en cas de doute quant à la nécessité d’effectuer une AIPD il est recommandé d’en effectuer une :
Quand est-ce qu’une analyse d’impact est obligatoire ?
Une AIPD doit obligatoirement être menée quand le traitement est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées ».
- Soit le traitement envisagé figure dans la liste des types d’opérations de traitement pour lesquelles la CNIL a estimé obligatoire de réaliser une analyse d’impact relative à la protection des données.
- Soit le traitement remplit au moins deux des neuf critères issus des lignes directrices du G29 :
- évaluation/scoring (y compris le profilage) ;
- décision automatique avec effet légal ou similaire ;
- surveillance systématique ;
- collecte de données sensibles ou données à caractère hautement personnel ;
- collecte de données personnelles à large échelle ;
- croisement de données ;
- personnes vulnérables (patients, personnes âgées, enfants, etc.) ;
- usage innovant (utilisation d’une nouvelle technologie) ;
- exclusion du bénéfice d’un droit/contrat.
Exemple : une entreprise met en place un traitement publicitaire visant à collecter les données de géolocalisation de plusieurs millions d’individus pour créer des profils publicitaires et leur afficher de la publicité ciblée en fonction de leurs déplacements ; ce traitement remplit le critère de la collecte à grande échelle et celui de la collecte de données sensibles (données de localisation), donc la réalisation d’une AIPD sera nécessaire.
Voici la liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise :
À quel moment faut-il mener une analyse d‘impact ?
L’AIPD doit être menée avant la mise en œuvre du traitement. Il doit être démarré le plus en amont possible et sera mise à jour tout au long du cycle de vie du traitement.
Il est également nécessaire de revoir une AIPD de manière régulière pour s’assurer que le niveau de risque reste acceptable tout au long de la vie du traitement, dans la mesure où l’environnement, technique notamment, sera amené à évoluer, ce qui nécessitera d’adapter les mesures mises en œuvre.
Qui Participe à l’AIPD ?
L’accomplissement de l’AIPD est une responsabilité partagée entre le responsable de traitement, le délégué à la protection des données, les sous-traitants, et idéalement, devrait impliquer les avis des personnes concernées. Cette collaboration interdisciplinaire est cruciale pour une évaluation complète et précise des risques.
Méthodologie et Publication
Bien qu’il n’existe pas de méthode unique pour réaliser une AIPD, certaines lignes directrices doivent être respectées. La CNIL propose une approche en quatre étapes, facilitant une évaluation systématique et approfondie.
Pour ce faire, plusieurs méthodes sont utilisables. Le responsable de traitement est libre de choisir sa méthode. Mais quelle que soit la méthode, celle-ci devrait respecter les critères définis dans l’annexe 2 des lignes directrices du G29.
Les guides AIPD de la CNIL décrivent la méthode suivante :
- délimiter et décrire le contexte du (des) traitement(s) considéré(s) ;
- analyser les mesures garantissant le respect des principes fondamentaux : la proportionnalité et la nécessité du traitement, et la protection des droits des personnes concernées ;
- apprécier les risques sur la vie privée liés à la sécurité des données et vérifier qu’ils sont convenablement traités ;
- formaliser la validation du PIA au regard des éléments précédents ou bien décider de réviser les étapes précédentes.
Quant à la publication de l’AIPD, elle n’est pas obligatoire, mais partager ses résultats peut améliorer la transparence et la confiance entre les parties prenantes.
Quand faut-il transmettre son analyse d’impact à la CNIL ?
Si votre traitement relève du RGPD, votre AIPD doit être transmise à la CNIL dans les cas suivants :
- s’il apparait que le niveau de risque résiduel reste élevé (cas où la CNIL doit être consultée) ;
- quand la législation nationale d’un État membre l’exige ;
Si votre traitement relève de la directive « Police-Justice », votre AIPD doit être transmise à la CNIL dans les cas suivants :
- elle présente des risques résiduels élevés ;
- en raison de l’utilisation de nouveaux mécanismes, technologies ou procédures, le traitement présente des risques initiaux élevés.
Pour transmettre une AIDP à la CNIL passez par le service en ligne AIDP
AIDP : 4 cahiers de bonnes pratiques
La CNIL a publié quatre catalogues de bonnes pratiques destinées à traiter les risques que les traitements de données personnelles peuvent faire peser sur les libertés et la vie privée des personnes concernées (pdf) :
ANALYSE D’IMPACT RELATIVE À LA PROTECTION DES DONNÉES (AIPD) : ÉTUDE DE CAS « CAPTOO »
ANALYSE D’IMPACT RELATIVE À LA PROTECTION DES DONNÉES (AIPD) 2 : LES MODÈLES
ANALYSE D’IMPACT RELATIVE À LA PROTECTION DES DONNÉES (AIPD) 3 : LES BASES DE CONNAISSANCES
ANALYSE D’IMPACT RELATIVE À LA PROTECTION DES DONNÉES (AIPD) 1 : LA MÉTHODE
Comment réaliser une AIPD avec un logiciel ?
Le logiciel PIA proposé par la CNIL est disponible en 20 langues, il facilite et accompagne la conduite d’une analyse d’impact relative à la protection des données (AIPD), qui est obligatoire pour certains traitements. Cet outil vise aussi à faciliter l’appropriation des guides AIPD de la CNIL.