L’enjeu de l’analyse d’impact

Avec l’article 35, le RGPD demande au responsable des traitements de conduire une analyse d’impact sur la protection des données (DPIA – Data Protection Impact Assessment), dès qu’un traitement de données personnelles est susceptible d’entraîner un risque élevé pour les droits et libertés des individus concernés.

L’objectif de cette analyse d’impact est de prévenir une fuite de données ou des risques élevés pour les droits des personnes concernées. Cet outil est important pour les organismes, leur permettant de contrôler les traitements de données en les rendant respectueux de la vie privée en amont (Security by Default). Enfin, l’analyse d’impact sert aussi à prouver la conformité des traitements réalisés au RGPD. Voilà pourquoi cette analyse est obligatoire pour les traitements susceptibles d’engendrer des risques élevés.

Le DPIA permet donc de protéger les citoyens européens contre les risques sur la vie privée.

Vous voulez tout savoir sur le RGPD ?

L’analyse d’impact en pratique

Une analyse d’impact (DPIA) est réalisée en mettant en place plusieurs points :

• Description systématique des opérations de traitement prévues et les finalités envisagées, en précisant l’intérêt légitime du responsable de traitement.
• Mise en place d’une évaluation de la nécessité et de la proportionnalité des opérations de traitement vis à vis du but recherché.
• Analyse précise des risques pesants sur les droits et libertés des individus concernés, des mesures de protection et garanties pour pallier les risques, mesures pour assurer une protection des données personnelles, pour être en conformité réglementaire.

Dans quelles situations l’analyse d’impact n’est pas obligatoire ?

Une organisation n’est pas dans l’obligation de réaliser un DPIA dans les cas ci-dessous :

• A partir du moment où le traitement ne présente pas de risque important pour les droits et libertés des individus en question.
• Quand les traitements, dans leur nature, leur portée, leur contexte et leurs finalités envisagés sont fortement semblables à un traitement pour lequel un DPIA a déjà été mené.
• Lorsque le traitement résulte d’une obligation légale, obligatoire dans l’exercice d’une mission de service public (art 6.1.c 6.1.e), sous réserve des conditions ci-dessous :
• Ce droit réglemente cette opération de traitement
• Une base juridique dans le droit de l’UE ou d’un État membre
• Qu’un PIA ait déjà été fait au moment de l’adoption de cette même base juridique
• Pour finir, quand le traitement rentre dans la liste des exceptions déterminées par la CNIL, conformément à l’article 35(5). Cette liste sera adoptée par la CNIL courant 2018.

Dans quelles situations l’analyse d’impact est obligatoire ?

L’analyse d’impact (DPIA) est absolument nécessaire dans le cas où un traitement est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées ».

Pour savoir si un traitement nécessite un DPIA, il faut vérifier si celui-ci remplit au moins deux des critères ci-dessous :

• Une collecte de données sensibles
• Scoring / évaluation / profilage
• Une surveillance systématique
• La collecte de données personnelles à grande échelle
• Une décision automatique avec effet légal ou similaire
• Le croisement de données
• Les usages innovants (technologie novatrice)
• L’exclusion du bénéfice d’un droit / contrat
• Les personnes vulnérables (enfants, patients, personnages âgés, etc.)

A titre d’exemple : Une organisation met en place une offre à destination des enfants avec l’analyse des données résultants de celle-ci. Le traitement remplit donc le critère de surveillance systématique et celui des données concernant des individus vulnérables (ici des enfants), la mise en place d’un DPIA est donc obligatoire et nécessaire.

Questions à se poser

• Quels types de traitements sont réalisés par mon organisation ?
• Le responsable des traitements est-il au fait de l’obligation d’un DPIA dans certains cas ?

Source utile

Article 35 : Analyse d’impact relative à la protection des données