L’article 35 du RGPD (Règlement sur la protection des données personnelles) prévoit la réalisation d’une analyse d’impact sur la protection des données à caractère personnel (« AIPD » ou « PIA » en anglais) lorsqu’un traitement de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées.
L’AIPD est un élément central du RGPD, et un outil important pour la responsabilisation des organismes : elle leur permet de construire des traitements de données respectueux de la vie privée, mais également à démontrer leur conformité au RGPD. C’est au responsable de traitement de mesurer, à travers l’analyse d’impact, l’échelle du risque en termes de gravité et de vraisemblance. Par exemple, il est possible d’évaluer le risque pour la vie privée des patients d’un hôpital suite un piratage d’une base de données contenant des données médicales. Ce risque pourrait être estimé comme particulièrement grave (conséquences graves pour les patients) mais peu vraisemblable (dans la mesure où les logiciels d’hébergement des données de santé sont bien protégés).
Pas facile cependant de déterminer si nous sommes dans l’obligation de réaliser une analyse d’impact. Comment juger si un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes ?
Pour répondre à cette interrogation et accompagner les responsables de traitement dans leur réflexion, la CNIL a précisé les conditions dans lesquelles l’analyse d’impact est obligatoire :
- Lorsque le traitement envisagé figure dans la liste des types d’opérations de traitement pour lesquelles la CNIL a estimé obligatoire de réaliser une analyse d’impact relative à la protection des données. C’est le cas par exemple pour les traitements mis en œuvre par les hôpitaux, pour les analyses comportementales sur les réseaux sociaux, ou pour la publicité ciblée en ligne.
- Lorsque le traitement remplit au moins deux des neuf critères issus des lignes directrices du CEPD (Comité européen de la protection des données), par exemple s’il porte sur des données dites « sensibles » ou « à caractère hautement personnel », sur des personnes dites « vulnérables » (patients, personnes âgées, enfants, etc.), ou encore lorsque le traitement consiste en une collecte de données personnelles à large échelle.
A noter : La CNIL classe les salariés dans les « personnes vulnérables ». Par exemple, un système de géolocalisation des véhicules du personnel à large échelle doit faire l’objet d’une analyse d’impact.
Pour conduire une telle analyse, le responsable de traitement fait appel au délégué à la protection des données (DPO), chargé de le conseiller et de vérifier l’exécution du travail.
Pour accompagner les organismes, la CNIL met à disposition un logiciel PIA.
