EXPERTISES - Droit: ICT, GDPR et Immatériel

RGPD: quand faut-il réaliser une analyse d’impact?

12 Février 2019 Par Mickaël Tome et Cyril Pierre-Beausse - Avocats à la Cour – Etude /c law
Mickaël Tome et Cyril Pierre-Beausse, Avocats à la Cour – Etude /c law Crédit Photo: C-Law

Les traitements de données personnelles qui présentent un risque élevé pour la vie privée des personnes concernées doivent faire l’objet d’une analyse d’impact (AIPD ou DPIA). Cette démarche vise à identifier et réduire ce risque en amont. Il s’agit d’un élément essentiel du principe de «responsabilité» que la loi impose désormais à toute organisation.

La plupart des organisations ont alloué des ressources importantes en 2017 et 2018 à des tâches d’identification des traitements de données personnelles qu’elles réalisent, et de mise en conformité au Règlement général sur la protection des données (RGPD). Pour nombre d’entre elles, ces tâches ne sont qu’un préalable à des travaux de mise en conformité plus importants, et surtout plus profonds.

En effet, le principe de responsabilité (ou «accountability») commande aux responsables de traitements susceptibles de créer un risque élevé pour les droits et les libertés des personnes concernées d’identifier, évaluer et minimiser ce risque au travers de la réalisation d’une analyse d’impact. Il s’agit d’une exigence légale assujettie aux lourdes sanctions prévues par le RGPD.

Dans quels cas au juste une analyse d’impact est-elle requise? Si l’on s’en tient à la lettre du texte, certains types de traitements sont par nature considérés comme présentant un risque élevé. C’est le cas de l’évaluation systématique et approfondie d’aspects personnels concernant des individus, du traitement à grande échelle de données sensibles ou judiciaires, ainsi que de la surveillance systématique et à grande échelle de zones accessibles au public.

Il est attendu de la Commission nationale pour la protection des données (CNPD) qu’elle publie, conformément au RGPD, une liste des traitements relevant systématiquement de l’obligation de réaliser une analyse d’impact («black list»). Cette publication est attendue afin d’éclairer les organisations sur les traitements sur lesquels elles doivent porter une attention particulière.

La black list officielle de la CNPD tarde à venir. Est-ce à dire que les organisations doivent attendre sans réagir?

Une première mouture de cette black list visait notamment les traitements de données biométriques ou génétiques. Elle visait également les traitements de données provenant de fournisseurs tiers -et non des personnes directement- lorsque cette provenance rend difficile ou impossible l’information des personnes concernées (et donc l’exercice de leurs droits). Dans un avis publié en décembre 2018, le Comité européen de la protection des données (CEPD) a rejeté l’exigence systématique d’une analyse d’impact pour ces traitements, les critères mentionnés par la CNPD étant jugés insuffisamment précis. La mission du CEPD est en effet de permettre une application cohérente et harmonisée du RGPD dans l’ensemble de l’Union, notamment en assurant que les exigences émises par les autorités nationales soient assez transparentes, précises et étayées.

À ce titre, le CEPD recommande la plus grande transparence dans les critères retenus par les autorités nationales, et préconise de s’appuyer sur les critères déjà dégagés au niveau européen (et énumérés dans un avis du défunt «Groupe 29» en octobre 2017). Parmi ces critères, le Groupe 29 considérait qu’une analyse d’impact s’impose lorsque deux au moins (voire parfois une seule) des circonstances suivantes sont réunies: une évaluation ou notation, une prise de décision automatisée produisant un effet juridique ou significatif pour les personnes, une surveillance systématique, un traitement de données sensibles ou intimes, des données traitées à grande échelle, un croisement ou combinaison d’ensembles de données, des données concernant des personnes vulnérables, une utilisation innovante selon des nouvelles solutions technologiques ou organisationnelles, ou enfin des traitements empêchant d’exercer un droit ou de bénéficier d’un service ou d’un contrat. 

L’absence prolongée de black list nationale officielle (le RGPD est entré en vigueur il y a plus de 8 mois) crée une incertitude et pénalise les organisations dans la mise en conformité de leurs traitements. 

Quoi qu’il en soit, il appartient à chaque organisation (en vertu du principe de responsabilité) de déterminer elle-même si certains des traitements qu’elle réalise requièrent une analyse d’impact. La guidance fournie par les autorités européennes ou la CNPD (y compris cette black list) ne les dispensant en aucun cas de leur propre responsabilité dans ce domaine.

Il est donc nécessaire d’examiner au cas par cas chaque traitement et de prendre une position étayée et documentée sur le besoin ou non d’effectuer une analyse d’impact pour chacun d’eux. Cette position peut par ailleurs différer, lorsque les circonstances de l’espèce le justifient, des analyses théoriques parfois données par les autorités à titre d’exemple, et qui n’ont pas de caractère réglementaire. Il est essentiel de documenter cet examen, ce travail pouvant s’avérer utile si la CNPD venait à auditer les traitements de l’organisation.

Là où les critères du RGPD ou ceux du Groupe 29 évoqués ci-dessus sont clairement remplis (par exemple, un établissement hospitalier traitant des données médicales à grande échelle), l’analyse d’impact doit être effectuée sans délai. 

En cas de doute sur d’autres traitements se trouvant «à la limite», l’organisation peut décider d’attendre la publication de la black list de la CNPD. Il faudra toutefois être prêt à réaliser les analyses d’impact pour les traitements figurant dans la liste de la CNPD dans des délais relativement contraints après sa publication.

 

Mickaël Tome et Cyril Pierre-Beausse

 

Retrouvez l’intégralité de Droit: ICT, GDPR & Immatériel