L’analyse d’impact relative à la protection des données (AIPD) est l’étude détaillée d’un traitement de données personnelles.
Sa réalisation nécessite les connaissances des métiers et une compréhension fine du traitement de données concerné.
A quoi sert l’AIPD ?
Le Règlement Général sur la Protection des Données (RGPD) pose l’obligation d’évaluer si l’utilisation de données personnelles, dans certains contextes et par le recours à certaines technologies, est susceptible d’avoir des effets :
- sur les droits de la protection des données et la vie privée des personnes ;
- sur leurs libertés par exemple la liberté d’expression, la liberté de circulation, l’interdiction de toute discrimination, la liberté de conscience et de religion.
Dans quels cas faut-il réaliser une AIPD ?
L’AIPD doit être réalisée dans tous les secteurs d’activité et par tout type d’organisme, dès lors qu’il entre dans les critères définis ci-après, qu’il s’agisse d’une entreprise, d’une collectivité territoriale, d’une association, d’une fondation, d’un syndicat etc.
En application de l’article 35.1 du RGPD, lorsque l’utilisation de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes, le responsable de traitement (celui qui décide de « pourquoi » et « comment » on utilise des données personnelles) a l’obligation de réaliser une AIPD.
Pour caractériser les traitements de données susceptibles d’engendrer un « risque élevé pour les droits et libertés des personnes », le Comité européen de la Protection des données (CEPD) puis la Commission Nationale de l’informatique et des Libertés (CNIL) ont adopté des lignes directrices et des recommandations :
- Lignes directrices du 4 octobre 2017 concernant l’AIPD et la manière de déterminer si un traitement de données personnelles est susceptible d’engendrer un risque élevé aux fins du règlement (UE) 2016/679
- Délibération n° 2018-326 du 11 octobre 2018 portant adoption de lignes directrices sur les analyses d’impact relatives à la protection des données (AIPD) prévues par le règlement général sur la protection des données (RGPD)
- Délibération n° 2018-327 du 11 octobre 2018 portant adoption de la liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise.
Par exemple, les traitements suivants devraient faire l’objet d’une AIPD : l’utilisation de caméras pour contrôler les salariés manipulant de l’argent, la mesure des performances sportives des athlètes de haut niveau, les dispositifs de signalement des mineurs en danger, l’instruction des demandes de logement social.
Il est nécessaire de vérifier si une AIPD est requise au cas par cas, pour chaque traitement de données personnelles.
Comment réaliser une AIPD ?
Concrètement, l’AIPD consiste à se poser une série de questions sur les caractéristiques du traitement de données personnelles, les mesures mises en place pour respecter les droits des personnes concernées, les principales menaces et impacts potentiels sur ces personnes, ainsi que l’adéquation des mesures de sécurité aux risques identifiés.
L’AIPD doit être réalisée, en principe, avant de début le traitement de données personnelles.
Plusieurs éditeurs, ainsi que la CNIL, ont créé des logiciels permettant de réaliser des AIPD.
Dans les faits, ces AIPD impliquent la disponibilité des métiers puis des services informatiques, du RSSI et du délégué à la protection des données (DPO).
En fonction de la qualité des informations apportées, et de la compréhension des enjeux par chacun, plusieurs échanges peuvent être nécessaires avant d’aboutir à une version finalisée de l’AIPD.
L’AIPD pourra être réalisée rapidement si l’entreprise ou l’administration a déjà un niveau de conformité au RGPD avancé.
Faut-il envoyer l’AIPD à la CNIL ?
Pas systématiquement.
La Commission nationale de l’informatique et des libertés (CNIL) doit être consultée uniquement lorsqu’il ressort de l’AIPD que le traitement présenterait des risques élevés si le responsable de traitement ne prenait pas de mesures pour les atténuer (art. 36 RGPD).
Quel est le risque si l’AIPD n’est pas réalisée ?
Le manquement à l’obligation de réaliser une AIPD dans le cas où cela est obligatoire, le fait de ne pas la réaliser correctement ou le manquement à l’obligation de consulter la CNIL lorsque la situation l’exige sont passibles d’une amende administrative pouvant s’élever jusqu’à 10 000 000 d’euros. (art. 83.4 du RGPD)
Jessy Pollux
Avocate
Déléguée à la protection des données externalisée