Gérer les risques
Si vous avez identifié des traitements de données personnelles susceptibles d'engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devrez mener, pour chacun de ces traitements, une analyse d'impact relative à la protection des données (en anglais, Data protection impact assessment).
Qu’est-ce qu’une analyse d'impact relative à la protection des données (AIPD) ?
C’est une analyse aidant à construire des traitements de données respectueux de la vie privée et permettant de démontrer la conformité de son traitement au RGPD. Une AIPD est un outil d’évaluation d’impact sur la vie privée. Elle repose sur 2 piliers :
- les principes et droits fondamentaux, « non négociables », fixés par la loi. Ils ne peuvent faire l’objet d’aucune modulation, quelles que soient la nature, la gravité et la vraisemblance des risques encourus ;
- la gestion des risques sur la vie privée des personnes concernées, qui permet de déterminer les mesures techniques et d’organisation appropriée pour protéger les données personnelles.
Une AIPD contient :
- Une description du traitement étudié et de ses finalités.
- Une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités
- une évaluation des risques pour les droits et libertés des personnes concernées les mesures envisagées pour faire face aux risques.
Quand mener une analyse d'impact relative à la protection des données (AIPD) ?
De manière générale, réaliser une AIPD est une bonne pratique pour s’assurer de créer un traitement conforme au RGPD et respectueux de la vie privée, que celui-ci soit susceptible ou non d’engendrer des risques élevés sur la vie privée.
L'AIPD doit être réalisée avant la mise en œuvre du traitement. C’est un processus itératif, les analyses doivent être revues et corrigées de manière régulière, en particulier lors de changements majeurs des modalités d’exécution du traitement.
Mener une AIPD est obligatoire pour tout traitement susceptible d'engendrer des risques élevés pour les droits et libertés des personnes concernées (Article 35 du RGPD). Pour vous aider à déterminer si votre traitement est susceptible d’engendrer des risques élevés, les 9 critères suivants sont définis dans les lignes directrices du G29 :
- Evaluation ou notation;
- Décision automatisée avec effet juridique ou effet similaire significatif;
- Surveillance systématique ;
- Données sensibles ou données à caractère hautement personnel ;
- Données personnelles traitées à grande échelle ;
- Croisement d’ensembles de données ;
- Données concernant des personnes vulnérables ;
- Usage innovant ou application de nouvelles solutions technologiques ou organisationnelles ;
- Exclusion du bénéfice d’un droit, d’un service ou contrat.
Si votre traitement rencontre au moins 2 de ces critères, alors il est vivement conseillé de faire une AIPD.
Qui participe à l’élaboration de l’analyse d’impact ?
- Le responsable de traitement : valide l'AIPD et s’engage à mettre en œuvre le plan d’action défini dans l'AIPD ;
- Le délégué à la protection des données : élabore le plan d’action et se charge de vérifier son exécution ;
- Le(s) sous-traitant(s) : fournit les informations nécessaires à l’élaboration de l'AIPD ;
- Les métiers (RSSI, maîtrise d’ouvrage, maîtrise d’œuvre) : aident à la réalisation d'AIPD en fournissant les éléments adéquats ;
- Les personnes concernées : donnent leurs avis sur le traitement.
Les outils pour vous aider
La CNIL a élaboré une méthode et un catalogue de bonnes pratiques qui vous aident à mener une AIPD et déterminer les mesures proportionnées aux risques identifiés.
Un logiciel PIA, en version Beta, facilite la formalisation de cette analyse.
Des études de cas sur la géolocalisation de véhicules d'entreprise et la gestion des patients d'un cabinet de médecine du travail, réalisées par le Club EBIOS, illustrent la mise en application de ces outils,
. Des études de cas sur la géolocalisation de véhicules d'entreprise et la gestion des patients d'un cabinet de médecine du travail, réalisées par le Club EBIOS, illustrent la mise en application de ces outils.
Pour aller plus loin
Vous aurez franchi cette étape si
- Vous avez mis en place des mesures permettant de répondre aux principaux risques et menaces qui pèsent sur la vie privée des personnes concernées par vos traitements.