Pour satisfaire aux exigences renforcées du RGPD, les entreprises et organismes concernés vont devoir se soumettre à un certain nombre d’obligations. L’une d’entre elles est l’étude ou l’analyse d’impact. Celle-ci devra être faite en amont de tout traitement qui pourrait présenter un risque pour le respect de la vie privée des individus.

L’analyse d’impact au cœur du principe de responsabilité ou « accountability »

Si le RGPD s’inscrit dans la continuité de la loi Informatique et Libertés du 6 janvier 1978, il lui donne aussi une dimension nouvelle en introduisant la notion d’« accountability », ou principe de responsabilité.

Pour les responsables de traitement, cette refonte de la législation ne va pas être sans conséquences, car en cas de problème, ils seront directement mis en cause et auront l’obligation de démontrer, preuves à l’appui, qu’ils se sont strictement conformés aux règles de sécurité du nouveau règlement. Dans le cas contraire, ils s’exposeront à de lourdes sanctions.

Pour être en parfaite conformité avec le RGPD, ils vont devoir mettre en place un système de gouvernance des données ultra rigoureux, et prendre beaucoup de précautions, notamment en amont, surtout s’il s’avère que les données à caractère personnel convoitées sont jugées « sensibles », et les traitements potentiellement « risqués ».

C’est dans ce contexte particulier que l’analyse d’impact, encore appelée Data Protection Impact Assessment (DPIA),  devra être menée. Son but : mesurer l’impact d’une éventuelle fuite de données, calculer la probabilité qu’un tel scénario puisse survenir, et définir, si besoin, un plan d’actions pour réduire le niveau de risque.

Quand l’analyse d’impact est-elle obligatoire ?

Tous les traitements de données à caractère personnel ne devront pas systématiquement faire l’objet d’une analyse d’impact préalable. Seuls ceux susceptibles de porter notablement atteinte aux droits et libertés des personnes seront concernés.

Pour faciliter la prise de décision, la CNIL a dressé une liste des traitements pouvant impliquer une analyse d’impact. Parmi les principaux, on peut citer :

  • Les traitements opérés à très grande échelle, et sur de gros volumes de données
  • Les traitements destinés à dresser des profils d’individus, ou évaluer des aspects de leur personnalité (ex : le profilage)
  • Les traitements basés sur « la surveillance systématique d’une zone accessible au public (ex : vidéosurveillance)
  • Les traitements touchant des données de personnes « vulnérables », comme des enfants, des employés, etc.
  • Les traitements effectués à partir de données biométriques, ou concernant des infractions et des condamnations pénales
  • Les traitements relatifs à des transferts de données hors de l’Union européenne
  • Les traitements portant sur des données « sensibles », que la CNIL définit comme étant toutes les informations qui renseignent de façon directe ou indirecte sur les origines raciales et ethniques des individus, mais aussi sur leurs convictions politiques, leurs croyances religieuses, leur engagement syndical, leur orientation sexuelle, ou encore leur profil médical.

Comment faire une analyse d’impact ?

A compter du 25 mai 2018, l’analyse d’impact devra être menée par le responsable de traitement, conjointement avec le sous-traitant, s’il y en a un. Par ailleurs, si un DPO a été nommé, celui-ci aura pour tâche de conseiller le responsable de traitement, et de veiller à la bonne mise en œuvre de l’analyse, laquelle comprendra plusieurs points :

  • Étude du contexte, avec une description détaillée du traitement envisagé, de ses finalités
  • Évaluation de « la nécessité et de la proportionnalité du traitement »
  • Estimation des risques d’atteintes aux droits et libertés des individus (Que doit-on craindre ? D’où peut provenir la menace ? Quel niveau d’impact sur la vie privée ? Etc.)
  • Description des mesures prévues pour pallier les risques identifiés, et assurer la conformité avec le RGPD

A noter qu’une analyse d’impact n’est pas vouée à rester figée. Elle pourra être revue et améliorée au gré de l’évolution du contexte, comme par exemple en cas d’ajout d’une nouvelle finalité à un traitement, ce qui pourrait potentiellement accroître les risques. Le RGPD impose en effet une vigilance de tous les instants, et oblige à se montrer le plus proactif possible.

Enfin, si une analyse d’impact n’est pas forcément destinée à être rendue publique, rien n’empêche une entreprise de le faire, dans un but de totale transparence, ce qui n’est jamais mauvais en termes de d’image.

Sources :

https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article35

https://www.linformaticien.com/dossiers/rgpd160-serez-vous-pr234t160-1.aspx

 

Nathalie Dentico

Rédactrice Web Ylneo

%d blogueurs aiment cette page :