Parmi les nouvelles obligations qui pèsent sur les responsables de traitement figure la réalisation d’une analyse d’impact.
L’article 35 du règlement général sur la protection des données (1) prévoit ainsi que lorsqu’un type de traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable de traitement effectue une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel.
Il est précisé qu’une seule et même analyse peut porter sur un ensemble d’opérations de traitement similaires qui présentent des risques élevés similaires.
Risque élevé. Pour évaluer si un type de traitement peut engendrer un risque élevé, il convient de prendre en compte le recours à des nouvelles technologies, ainsi que la nature, la portée, le contexte et les finalités du traitement.
L’article 35 du règlement décrit plusieurs situations dans lesquelles une analyse d’impact relative à la protection des données sera requise, à savoir :
- « l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire ;
- le traitement à grande échelle de catégories particulières de données visées à l’article 9, paragraphe 1 (2), ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10 ; ou
- la surveillance systématique à grande échelle d’une zone accessible au public ».
A ce jour, les contours de la notion de « risque élevé » demeurent relativement flous. Le Groupe de l’article 29, qui rassemble les autorités de protection des données de l’Union européenne, pourrait toutefois être amené à préciser cette notion d’ici la fin de l’année 2016 (3).
Par ailleurs, l’article 35 du règlement prévoit que les autorités de contrôle établiront et publieront des listes recensant :
- les types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise ;
- les types d’opérations de traitement pour lesquelles aucune analyse d’impact relative à la protection des données n’est requise.
Eléments de méthodologie. L’article 35 du règlement précise que le responsable de traitement effectue une analyse d’impact « avant le traitement ».
Lorsqu’il effectue cette analyse, il demande conseil au délégué à la protection des données, dans le cas où un tel délégué a été désigné.
Concernant le contenu de cette analyse d’impact, celle-ci doit contenir au moins :
- « une description systématique des opérations de traitement envisagées et des finalités du traitement, y compris, le cas échéant, l’intérêt légitime poursuivi par le responsable de traitement ;
- une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités ;
- une évaluation des risques pour les droits et libertés des personnes concernées (…) ; et
- les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du présent règlement, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes affectées ».
Le respect, par le responsable de traitement ou le sous-traitant concerné, de codes de conduite approuvés conformément aux dispositions du règlement européen est dûment pris en compte au moment de l’évaluation de l’impact des opérations de traitement.
Les personnes concernées peuvent également être impliquées dans l’analyse. Il est ainsi prévu que « le cas échéant, le responsable de traitement demande l’avis des personnes concernées ou de leurs représentants au sujet du traitement prévu », cela « sans préjudice de la protection des intérêts généraux ou commerciaux ou de la sécurité des opérations de traitement ».
Par ailleurs, l’article 35 § 10 du règlement évoque la possibilité de réaliser des analyses d’impact générales, lorsque le traitement a une base juridique dans le droit de l’Union ou dans le droit de l’État membre auquel le responsable de traitement est soumis, que ce droit réglemente l’opération de traitement spécifique ou l’ensemble des opérations de traitement en question.
Pour finir, l’article 35 énonce que « si nécessaire, le responsable de traitement procède à un examen afin d’évaluer si le traitement est effectué conformément à l’analyse d’impact relative à la protection des données, au moins quand il se produit une modification du risque présenté par les opérations de traitement ».
Consultation préalable de l’autorité. L’article 36 du règlement prévoit également que le responsable de traitement consulte l’autorité de contrôle, préalablement au traitement, lorsqu’une analyse d’impact relative à la protection des données qui aurait été effectuée au titre de l’article 35 indique que le traitement présenterait un risque élevé si jamais le responsable de traitement ne prenait pas de mesures pour atténuer le risque.
Calendrier. Le règlement général sur la protection des données sera applicable à partir du 25 mai 2018. Les responsables de traitement ont donc deux ans pour se préparer.
Notre conseil. Les organismes devraient dès à présent rédiger des procédures d’analyse d’impact, afin de définir :
- les personnes devant être impliquées dans une analyse d’impact ;
- la méthodologie à adopter et les différentes étapes à suivre ;
- le moment auquel l’analyse d’impact doit être menée.
Il est possible de s’inspirer de travaux déjà publiés tels que :
- les guides publiés par la Cnil en juin 2015 « PIA la méthode – Comment mener une EIVP, un PIA » (4) et « PIA l’outillage – Modèles et bases de connaissances » (5) ;
- le Livre blanc « Gouvernance des données personnelles et analyse d’impact » (6), fruit de la réflexion d’un groupe de travail composé de Cils, juristes d’entreprise, avocats, commissaires aux comptes, ingénieurs et RSSI, coprésidé par Serge Yablonsky du cabinet SYC consultants et Maître Alain Bensoussan.
Lexing Alain Bensoussan Selas
Lexing Informatique et libertés
(1) Règlement 2016/679 du 27-4-2016.
(2) Il s’agit des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.
(3) En effet, le G29 a inclut dans son plan d’action 2016 la rédaction de procédures et guidelines destinées à accompagner les responsables de traitement et sous-traitant et à les aider à se préparer au règlement européen. La notion de « risque élevé » et l’analyse d’impact relative à la protection des données figurent parmi les principaux thèmes concernés.
(4) Guide Cnil « PIA la méthode – Comment mener une EIVP, un PIA ».
(5) Guide Cnil « PIA l’outillage – Modèles et bases de connaissances ».
(6) Livre blanc « Gouvernance des données personnelles et analyse d’impact », cf. notre post du 11-12-2014.