On examinera donc la logique d’ensemble de l’AIPD pour comprendre comment répondre aux exigences du RGPD de manière pratique et opérationnelle.
I - Quand faut-il faire une analyse d’impact ?
L’AIPD est née d’une volonté de simplifier les formalités imposées par la règlementation en abolissant le système de déclaration et autorisation CNIL (mais tout en conservant la déclaration au registre…). L’idée était d’imposer seulement une procédure dans les cas ou un traitement de données personnelles présente d’importants risques. L’idée est exprimée dans le considérant 89 :
(89) La directive 95/46/CE prévoyait une obligation générale de notifier les traitements de données à caractère personnel aux autorités de contrôle. Or, cette obligation génère une charge administrative et financière, sans pour autant avoir systématiquement contribué à améliorer la protection des données à caractère personnel. Ces obligations générales de notification sans distinction devraient dès lors être supprimées et remplacées par des procédures et des mécanismes efficaces ciblant plutôt les types d’opérations de traitement susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques, du fait de leur nature, de leur portée, de leur contexte et de leurs finalités.
Le critère retenu par l’AIPD est donc fondamentalement l’existence d’un risque pour les droits et libertés (A), notion qu’il va falloir préciser et interpréter juridiquement, car elle peut sembler vague au premier abord. C’est en partie à ce titre que le règlement a prévu de nombreux cas particuliers (B).
A - Le critère principal qui impose une AIPD
Si le critère de risque est précisé par l’article 35 (1), il est intéressant de voir des illustrations concrètes d’application (2).
1. Le risque élevé pour les droits et libertés
Si l’AIPD est un sujet difficile, au moins le règlement nous donne une définition assez claire des cas dans lesquels une AIPD est imposée. Il faut pour cela se référer à l’article 35.1 :
Lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel. Une seule et même analyse peut porter sur un ensemble d’opérations de traitement similaires qui présentent des risques élevés similaires.
L’AIPD doit donc être mise en oeuvre à chaque fois qu’un traitement de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques. Ce qui s’apprécie au regard : du recours à de nouvelles technologies ; de la nature, de la portée, du contexte et des finalités du traitement.
Attention, en termes de timing, l’AIPD doit être menée préalablement à la mise en oeuvre du traitement. Ce point est essentiel à respecter, au risque d’être dans l’illégalité et encourir des sanctions au titre de l’article 83.
2. Exemples de cas dans lesquels une AIPD est obligatoire
Le RGPD (considérant 91), comme la Commission européenne donnent quelques exemples de cas dans lesquels une AIPD est requise :
- Une banque qui sélectionne ses clients à partir d’une base de données de référence en matière de crédit;
- un hôpital sur le point de mettre en œuvre une nouvelle base de données reprenant des informations sur la santé et des données relatives à la santé de ses patients;
- un exploitant de bus sur le point d’installer des caméras à bord pour surveiller le comportement de ses chauffeurs et des passagers.
B - Les cas particuliers dans lesquels une AIPD est toujours requise
L’objectif du RGPD d’encadrer les traitements les plus à risque pose évidemment le problème de définir quels sont en pratique les traitements considérés comme étant les plus risqués. Le RGPD a donc ouvert deux voies pour cela : reconnaitre que certains traitements sont par nature des traitements à risque en les inscrivant dans une liste de traitements spécifiques à l’article 35. Et une seconde, ouvrant la possibilité aux CNILs européennes de définir une liste de traitements pour lesquels une AIPD est forcément requise.
1. Les cas particuliers définis par le RGPD
L’article 35.3 prend le parti de définir une série de traitements pour lesquels une AIPD est forcément nécessaire, ils sont au nombre de 3 :
L’analyse d’impact relative à la protection des données visée au paragraphe 1 est, en particulier, requise dans les cas suivants: a) l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire; b) le traitement à grande échelle de catégories particulières de données visées à l’article 9, paragraphe 1, ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10; ou c) la surveillance systématique à grande échelle d’une zone accessible au public.
Cette liste à l’avantage d’une relative simplicité, si un responsable met en place un tel traitement, il doit préalablement mener une étude d’impact.
A noter que la notion de grande échelle peut prêter à discussion, toutefois le RGPD en donne quelques exemples (considérant 91) :
“Le traitement de données à caractère personnel ne devrait pas être considéré comme étant à grande échelle si le traitement concerne les données à caractère personnel de patients ou de clients par un médecin, un autre professionnel de la santé ou un avocat exerçant à titre individuel. Dans de tels cas, une analyse d’impact relative à la protection des données ne devrait pas être obligatoire.”
Note : il est également utile de consulter les documents du G29 - Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679.
2. Les cas particuliers définis par la CNIL
À défaut de figurer sur la liste limitative de l’article 35, le RGPD a également confié aux CNILs européennes la faculté de définir une série de traitements pour lesquels une AIPD est forcément nécessaire. En fait, les autorités nationales de contrôle ont la faculté de dire les cas dans lesquels une étude d’impact est nécessaire autant que les cas dans lesquels une étude d’impact n’est pas nécessaire :
Article 35.4 et s. : L’autorité de contrôle établit et publie une liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise conformément au paragraphe 1. L’autorité de contrôle communique ces listes au comité visé à l’article 68. 5 L’autorité de contrôle peut aussi établir et publier une liste des types d’opérations de traitement pour lesquelles aucune analyse d’impact relative à la protection des données n’est requise. L’autorité de contrôle communique cette liste au comité.
A ce jour la CNIL a publié une liste des traitements pour lesquels une AIPD est impérative :
- Traitements de données de santé mis en œuvre par les établissements de santé ou les établissements médicosociaux pour la prise en charge des personnes
- Traitements portant sur des données génétiques de personnes dites « vulnérables » (patients, employés, enfants, etc.).
- Traitements établissant des profils de personnes physiques à des fins de gestion des ressources humaines
- Traitements ayant pour finalité de surveiller de manière constante l’activité des employés concernés
- Traitements ayant pour finalité la gestion des alertes et des signalements en matière sociale et sanitaire
- Traitements ayant pour finalité la gestion des alertes et des signalements en matière professionnelle
- Traitements des données de santé nécessaires à la constitution d’un entrepôt de données ou d’un registre
- Traitements impliquant le profilage des personnes pouvant aboutir à leur exclusion du bénéfice d’un contrat ou à la suspension voire à la rupture de celui-ci
- Traitements mutualisés de manquements contractuels constatés, susceptibles d’aboutir à une décision d’exclusion ou de suspension du bénéfice d’un contrat
- Traitements de profilage faisant appel à des données provenant de sources externes
- Traitements de données biométriques aux fins d’identifier une personne physique de manière unique parmi lesquelles figurent des personnes dites « vulnérables » (élèves, personnes âgées, patients, demandeurs d’asile, etc.)
- Instruction des demandes et gestion des logements sociaux
- Traitements ayant pour finalité l’accompagnement social ou médico-social des personnes
- Traitements de données de localisation à large échelle
Attention dans le domaine de la santé, l’AIPD est quasiment systématique.
II - Comment faire une AIPD en pratique ?
Une fois que l’on a répondu à la question de savoir si l’AIPD est obligatoire, se pose donc la question de savoir comment la réaliser. C’est là que les choses se compliquent… Le règlement européen impose une série d’étapes par lesquelles l’AIPD doit passer (A), mais il manque une méthodologie qui soit vraiment opérationnelle pour analyser correctement ces risques (B).
A - Les étapes obligatoires de l’AIPD
De manière générale, le RGPD nous indique que (considérant 90) “Dans de tels cas, une analyse d’impact relative à la protection des données devrait être effectuée par le responsable du traitement, préalablement au traitement, en vue d’évaluer la probabilité et la gravité particulières du risque élevé, compte tenu de la nature, de la portée, du contexte et des finalités du traitement et des sources du risque. Cette analyse d’impact devrait comprendre, notamment, les mesures, garanties et mécanismes envisagés pour atténuer ce risque, assurer la protection des données à caractère personnel et démontrer le respect du présent règlement.” En fait, le règlement impose 5 étapes particulières par lesquelles l’AIPD doit passer (1), de même que deux consultations obligatoires (2).
1. Les 5 étapes imposés de l’AIPD
Le RGPD pose une série de rendez-vous par lesquels l’organisation va devoir passer pour s’assurer de réaliser une AIPD conforme, cela afin de vérifier que les risques liés au traitements sont maîtrisés ; ces étapes sont définies à l’article 35.7 qui indique que l’analyse contient au moins :
a) une description systématique des opérations de traitement envisagées et des finalités du traitement, y compris, le cas échéant, l’intérêt légitime poursuivi par le responsable du traitement; b) une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités; c) une évaluation des risques pour les droits et libertés des personnes concernées conformément au paragraphe 1; et d) les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du présent règlement, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes affectées.
En outre, le responsable du traitement doit également s’assurer d’organiser la révision de l’AIPD, au regard des évolutions du risque (art. 35.11) :
Si nécessaire, le responsable du traitement procède à un examen afin d’évaluer si le traitement est effectué conformément à l’analyse d’impact relative à la protection des données, au moins quand il se produit une modification du risque présenté par les opérations de traitement.
2. Les consultations obligatoires
Le règlement impose également deux consultations obligatoires pour tout traitement soumis à AIPD :
35.2. Lorsqu’il effectue une analyse d’impact relative à la protection des données, le responsable du traitement demande conseil au délégué à la protection des données, si un tel délégué a été désigné. 35.9 Le cas échéant, le responsable du traitement demande l’avis des personnes concernées ou de leurs représentants au sujet du traitement prévu, sans préjudice de la protection des intérêts généraux ou commerciaux ou de la sécurité des opérations de traitement.
A noter qu’une analyse d’impact peut également être menée pour un ensemble global d’opérations de traitement (art. 35.10 : Lorsque le traitement effectué en application de l’article 6, paragraphe 1, point c) ou e), a une base juridique dans le droit de l’Union ou dans le droit de l’État membre auquel le responsable du traitement est soumis, que ce droit règlemente l’opération de traitement spécifique ou l’ensemble des opérations de traitement en question et qu’une analyse d’impact relative à la protection des données a déjà été effectuée dans le cadre d’une analyse d’impact générale réalisée dans le cadre de l’adoption de la base juridique en question, les paragraphes 1 à 7 ne s’appliquent pas, à moins que les États membres n’estiment qu’il est nécessaire d’effectuer une telle analyse avant les activités de traitement.).
A noter :