• Données personnelles

    par brm_admin

    Lignes directrices du G29 sur l’Analyse d’impact relative à la protection des données : tour d’horizon

    Le groupe de travail de l’article 29, futur Comité européen de la protection des données (article 68 du Règlement 2016/678), continue son travail de préparation au futur Règlement européen de protection des données, applicable à partir du 25 mai 2018.

    Ses derniers travaux en date concernent l’Analyse d’impact relative à la protection des données (AIPD) prévue à l’article 35 du RGPD. Des lignes directrices ont été adoptées à ce sujet le 4 avril 2017 et sont ainsi soumises à consultation publique jusqu’au 19 mai 2017.

    Il s’agit ainsi, pour certains types de traitements présentant des caractéristiques susceptibles d’engendrer « un risque élevé pour les droits et libertés des personnes physiques », de s’assurer, pour le Responsable de traitement, que ces risques soient parfaitement identifiés, et traités, afin que la mise en place du traitement ne fasse pas peser un risque démesuré sur les droits et libertés des personnes concernées.

    Le G29 s’est attelé à circonscrire cette notion et à définir ce que représente « un risque élevé pour les droits et libertés des personnes physiques ». Pour cela, 4 points ont été étudiés par le groupe de travail.

    Le champ d’application de l’AIPD

    Particulièrement, l’article 35 (1) du RGPD dispose en ces termes que « une seule et même analyse peut porter sur un ensemble d’opérations de traitements similaires qui présentent des risques élevés similaires ».

    Pour le G29, cela pourrait ainsi recouper l’hypothèse dans laquelle plusieurs traitements ayant la même finalité mettent en œuvre une technologie équivalente pour collecter une même catégorie de données.

    Pour exemple, le groupe de travail nous expose la situation dans laquelle plusieurs communes décideraient de mettre en place un système de vidéo protection similaire. Une seule et même AIPD pourrait dès lors être mises en œuvre collectivement par ces municipalités.

    Les types de traitements concernés par l’AIPD

    Le G29 analyse en outre la situation des traitements susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques. Dans ce cas, en effet, l’AIPD est alors obligatoire. Ainsi, en plus des 3 traitements identifiés à l’article 35 (3) RGPD comme étant susceptibles de présenter un tel risque et dont la liste n’est pas exhaustive, le groupe de travail expose une liste de critères à prendre en compte pour identifier, de manière générale, un traitement à risque :

    • Une évaluation ou une notation de la personne concernée, y compris l’établissement d’un profil ou d’une prédiction ;
    • L’existence d’une décision automatisée à l’égard de la personne concernée, produisant des effets juridiques ou similaires ;
    • Une surveillance systématique de la personne concernée ;
    • Le traitement de données sensibles;
    • Le traitement de données à large échelle(combinant le nombre de personnes concernées, la zone géographique, le volume de données et la durée du traitement) ;
    • La combinaison de plusieurs jeux de données entre eux ;
    • Le traitement de données relatives à des personnes vulnérables;
    • L’usage de solutions innovantes, d’applications technologiques ou de solutions organisationnelles;
    • Le transfert hors union européenne des données ;
    • Le traitement qui empêche la personne concernée d’exercer un droit ou de bénéficier d’un service ou d’un contrat.

    Ainsi, plus le traitement envisagé réunit de critères, plus il sera susceptible d’engendrer un risque pour les droits et libertés des personnes, et nécessitera  une AIPD. En ce sens, le groupe de travail considère qu’en  deçà de 2 critères rencontrés, le traitement ne devrait a priori pas nécessiter une AIPD. Au contraire, au-delà de 2 critères, une AIPD devrait être effectuée.

    A titre d’exemple ,  le G 29 cite le cas d’un le traitement qui consisterait pour une entreprise à contrôler  l’activité de ses salariés par le biais de leurs postes de travail, leur activité sur internet, etc. Dans une telle situation, deux critères seraient réunis : une surveillance systématique et la présence de personnes concernées supposées vulnérables (les salariés). Une AIPD serait donc requise en vertu du RGPD.

    Le G29 reconnait toutefois que ce système des 2 critères n’est pas fiable à 100%, et que certaines situations particulières pourraient  ne pas répondre à ce raisonnement.

    Le G29 s’est aussi attelé à délimiter les situations dans lesquelles, au contraire, une AIPD n’était pas requise. Conformément au RGPD, c’est le cas dans 4 hypothèses :

    • Le traitement n’est pas susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques ;
    • Une AIPD a déjà été réalisée pour un traitement similaire ;
    • Le traitement a une base légale dont l’adoption a déjà engendrée une telle analyse d’impact ;
    • Le traitement figure sur la liste de l’article 35 (5) RGPD en vertu de laquelle les autorités de contrôle établissent des catégories de traitement qui ne requièrent pas d’AIPD.

    Enfin, le G29 reconnait que l’obligation d’effectuer une AIPD n’est applicable qu’aux traitements envisagés après le 25 mai 2018. Pour autant, il recommande vivement d’effectuer une AIPD pour les traitements ayant débuté avant cette date et qui réunirait  lesdits critères. En tout état de cause, l’AIPD doit être révisée lorsque se présente un changement dans les risques que fait peser le traitement sur les droits et libertés des individus. Le G29 recommande que l’AIPD soit ainsi revue tous les 3 ans, voire plus tôt selon les caractéristiques du traitement.

    La méthode de travail

    Quand ? Conformément à l’article 35 (1) RGPG, l’AIPD doit être effectuée avant le traitement. Le G29 recommande qu’elle soit envisagée aussi tôt que possible dans le processus d’élaboration du produit qui donnera lieu au traitement. Il rappelle également que l’AIPD est un outil dynamique, évolutif, adaptable.

    Qui ? Bien que le responsable de traitement demeure seul responsable de la bonne réalisation de l’AIPD, ce dernier doit se faire aider, notamment par le DPO. L’avis des personnes concernées doit également être recueilli « lorsque c’est approprié » (par le biais de sondages, de questionnaires etc). L’appel à des experts indépendants peut également être une bonne solution dans certains cas.

    Quelle méthodologie ? Des éléments de bases sont listés à l’article 35 (7) RGPD. Le Règlement prend également en compte l’application de codes de conduite spécifique (article 40). Des normes ISO peuvent également être utilisées, telle la norme ISO31000 relative aux processus de management des risques. En tout état de cause, le G29 liste en annexe les différentes méthodologies actuellement disponibles.

    Publication de l’AIPD. Bien que cela ne soit pas une obligation légale, une telle publication est recommandée par le G29, qui y voit le moyen pour le Responsable de traitement de promouvoir la confiance dans ses opérations, tout en démontrant la conformité au RGPD.

    Il n’est pas sûr que les Responsables du traitement souscrivent avec joie à cette suggestion !

    La consultation de l’autorité de contrôle

    Cette consultation est requise, en vertu de l’article 36 (1) RGPD, lorsque l’AIPD révèle que le traitement « présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque ».

    Selon le groupe de travail, l’autorité de contrôle doit également être consultée si le responsable de traitement ne réussit pas à mettre en œuvre les mesures suffisantes pour d’atténuer le risque, laissant apparaitre des risques résiduels élevés, impliquant des conséquences significatives ou irréversibles sur les droits et libertés des personnes concernées.

    En conclusion, le G29 ne produit pas de méthodologie à proprement parler, mais ne fait qu’éclairer  les responsables de traitement sur les situations dans lesquelles une AIPD doit être envisagée. En tout état de cause, il ressort de ces lignes directrices que , même si l’AIPD n’est pas obligatoire pour tous types de traitements, elle reste un outil intéressant  et une preuve des actions  proactives menées par les responsables de traitement pour  respecter les principes d’accountability et de privacy by design , obligations essentielles du RGPD.

    C’est un des avantages non négligeables de l’Analyse d’impact relative à la protection des données.

     

    Martine RICOUART-MAILLET – Avocat associé

    Clyde COUTELLIER – Juriste