Gérer les risques

Qu’est-ce qu’une analyse d'impact relative à la protection des données (AIPD) ?

C’est une analyse aidant à construire des traitements de données respectueux de la vie privée et permettant de démontrer la conformité de son traitement au RGPD. Une AIPD est un outil d’évaluation d’impact sur la vie privée. Elle repose sur 2 piliers :

1. les principes et droits fondamentaux, « non négociables », fixés par la loi. Ils ne peuvent faire l’objet d’aucune modulation, quelles que soient la nature, la gravité et la vraisemblance des risques encourus ;
2. la gestion des risques sur la vie privée des personnes concernées, qui permet de déterminer les mesures techniques et d’organisation appropriée pour protéger les données personnelles.

Une AIPD contient :

• Une description du traitement étudié et de ses finalités.
• Une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités
• une évaluation des risques pour les droits et libertés des personnes concernées les mesures envisagées pour faire face aux risques.

Quand mener une analyse d'impact relative à la protection des données (AIPD) ?

De manière générale, réaliser une AIPD est une bonne pratique pour s’assurer de créer un traitement conforme au RGPD et respectueux de la vie privée, que celui-ci soit susceptible ou non d’engendrer des risques élevés sur la vie privée.

L'AIPD doit être réalisée avant la mise en œuvre du traitement. C’est un processus itératif, les analyses doivent être revues et corrigées de manière régulière, en particulier lors de changements majeurs des modalités d’exécution du traitement.

Mener une AIPD est obligatoire pour tout traitement susceptible d'engendrer des risques élevés pour les droits et libertés des personnes concernées (Article 35 du RGPD). Pour vous aider à déterminer si votre traitement est susceptible d’engendrer des risques élevés, les 9 critères suivants sont définis dans les lignes directrices du G29 :

1. Evaluation ou notation;
2. Décision automatisée avec effet juridique ou effet similaire significatif;
3. Surveillance systématique ;
4. Données sensibles ou données à caractère hautement personnel ;
5. Données personnelles traitées à grande échelle ;
6. Croisement d’ensembles de données ;
7. Données concernant des personnes vulnérables ;
8. Usage innovant ou application de nouvelles solutions technologiques ou organisationnelles ;
9. Exclusion du bénéfice d’un droit, d’un service ou contrat.

Si votre traitement rencontre au moins 2 de ces critères, alors il est vivement conseillé de faire une AIPD.

Qui participe à l’élaboration de l’analyse d’impact ?

• Le responsable de traitement : valide l'AIPD et s’engage à mettre en œuvre le plan d’action défini dans l'AIPD ;
• Le délégué à la protection des données : élabore le plan d’action et se charge de vérifier son exécution ;
• Le(s) sous-traitant(s) : fournit les informations nécessaires à l’élaboration de l'AIPD ;
• Les métiers (RSSI, maîtrise d’ouvrage, maîtrise d’œuvre) : aident à la réalisation d'AIPD en fournissant les éléments adéquats ;
• Les personnes concernées : donnent leurs avis sur le traitement.