L’analyse d’impact relative à la protection des données (art 35 et 36 RGPD)

Block with Lock Graphic on Computer Keyboard

L’analyse d’impact relative à la protection des données

L’analyse d’impact vise à évaluer la probabilité et la gravité du risque afin de déterminer, à partir du résultat de l’évaluation, les mesures appropriées à prendre afin de démontrer que le traitement des données à caractère personnel est conforme à la réglementation européenne en matière de protection de données personnelles.

La réalisation d’une analyse d’impact par le responsable de traitement est obligatoire lorsque le traitement est susceptible d’engendrer un risque élevé pour les droits/libertés des personnes et ce « compte-tenu de la nature, de la portée, du contexte des finalités du traitement » (art. 35.1). Une seule et même analyse peut porter sur un ensemble d’opérations de traitement similaires présentant des risques élevés similaires. Lorsqu’il effectue une analyse d’impact, le responsable de traitement demande conseil au DPO (article 35, 2)

  1. Quels sont les cas où l’analyse d’impact est obligatoire ? (article 35, 3)
  • Le traitement consiste en une évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques (profilage)
  • Traitement à grande échelle de données sensibles ou relatives à des condamnations pénales et/ou infractions pénales
  • Le traitement consiste en une surveillance systématique à grande échelle d’une zone accessible au public (vidéosurveillance)
  • Les opérations de traitement à grande échelle, qui servent à traiter un volume considérable de données à caractère personnel et qui peuvent affecter un nombre important de personnes concernées (Big Data…)
    (considérant n°91)
    =>Dans les autres cas, l’appréciation du risque et l’initiative d’une analyse d’impact est laissée au responsable du traitement.

2. Quelles sont les exceptions ?

  • le traitement est nécessaire « au respect d’une obligation légale » du responsable de traitement, ou « à l’exécution d’une mission d’intérêt public/autorité publique » du responsable de traitement
  • ET qu’une analyse d’impacts générale a déjà été précédemment effectuée

  Sauf => législation d’un État membre prévoyant qu’une analyse d’impact est néanmoins nécessaire dans un tel cas

               3. Quel est le contenu de l’analyse ? (Article 35, 7)

  • Description systématique du traitement envisagé, sa finalité
  • Evaluation de la nécessité et de la proportionnalité des opérations de traitement
  • Evaluations des risques pour les droits et libertés des personnes concernées
  • Les mesures envisagées pour remédier aux risques (ex : mesures de sécurité)

               4. Quelle est la mission de l’autorité de contrôle ? (article 35, 4, 5)

  • La notion de « risque élevé » restant floue, le règlement prévoit que les autorités de contrôle peuvent préciser la notion en établissant et en rendant publique la liste des traitements devant faire l’objet d’une analyse d’impacts et ne devant pas faire l’objet d’une telle analyse
  • L’autorité communiquera de la liste à l’EDPB
  • L’autorité de contrôle sera consultée par le responsable de traitement lorsque le traitement représente un risque élevé

Résultat de l’analyse d’impact :

  • Si le risque est élevé au regard des droits et libertés des personnes concernées: Le responsable doit consulter l’autorité de contrôle (CNIL en France) avant la mise en œuvre du traitement (article 36, 2). Si l’autorité de contrôle estime que le traitement n’est pas conforme au Règlement, cette dernière dispose alors d’un délai de huit semaines pour conseiller par écrit le responsable du traitement.

Lorsque le responsable de traitement consulte l’autorité de contrôle il doit lui communiquer les informations suivantes (article 36, 3) :

– Les responsabilités respectives du responsable de traitement, des responsables conjoints et des sous-traitant
– Les finalités et les moyens du traitement
– Les mesures et les garanties prévues afin de protéger les droits et libertés des personnel
– Les coordonnées du DPO
– L’analyse d’impact relative à la protection des données
– Toute autre information que l’autorité de contrôle demande

  • Si le risque n’est pas élevé: la consultation de l’autorité de contrôle n’est pas nécessaire.

NB : Le sous-traitant devrait aider le responsable de traitement, si nécessaire et sur demande à assurer le respect des obligations découlant de la réalisation des analyses d’impact relatives à la protection des données et de la consultation préalable de l’autorité de contrôle (considérant n°95)

Méthodologie : La CNIL a publié en juillet 2015 trois guides pour mener des études d’impact sur la vie privée sur : la méthodologie, l’outillage et les bonnes pratiques. De plus, la norme ISO/IEC 29134 « Privacy impact assessment – Guidelines » a pour objectif de fournir un cadre pour mener des analyses d’impact sur la vie privée. Des lignes directrices du G29 sont en outre attendues pour mars/avril 2017.

Actions de mise en conformité

  • Identifier les cas où l’analyse d’impact est obligatoire
  • Mettre en place un processus interne pour s’assurer de la réalisation de l’étude d’impact lorsque c’est obligatoire
  • Procéder à une appréciation du risque dans les autres cas

 

 

 

 

 

 

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>