L’analyse d’impact relative à la protection des données (PIA) est une procédure de contrôle fixée par l’article 35 du RGPD. Elle intervient lorsque le traitement de données personnelles mis en place par un organisme (privé ou public) est susceptible de présenter un risque important pour les droits et libertés des individus concernés par ce même traitement. L’analyse d’impact RGPD doit être mise en œuvre en amont du traitement en question, pour ensuite être mis à jour en fonction de son développement.
Un « risque sur la vie privée » est un scénario décrivant un événement redouté (atteinte à la confidentialité, la disponibilité ou l’intégrité des données, et ses impacts potentiels sur les droits et libertés des personnes) et toutes les menaces qui permettraient qu’il survienne.
Comment déterminer le caractère obligatoire de l’analyse d’impact ?
L’analyse d’impact est obligatoire à partir du moment où le traitement est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées ». En effet, soit le traitement envisagé figure dans la liste des types d’opérations de traitement pour lesquelles la CNIL a estimé obligatoire de réaliser une analyse d’impact relative à la protection des données (ex. traitement de données de localisation à large échelle) soit le traitement remplit au moins deux des neuf critères issus des lignes directrices du G29 tels que : la surveillance automatique, la collecte de données sensibles, la collecte de données concernant des personnes vulnérables, etc…
En revanche, la PIA n’est pas nécessaire lorsque le traitement figure dans la liste des exceptions adoptée par la CNIL (ex. traitement mis en œuvre uniquement à des fins de ressources humaines), lorsque le traitement ne présente pas de risque élevé pour les droits et libertés des personnes ou encore lorsque le traitement répond à une obligation légale ou est nécessaire à l’exercice d’une mission de service public.
Comment réaliser une analyse d’impact ?
La CNIL a mis à la disposition des responsables de traitement et leur délégué à la protection des données, un logiciel de PIA pour faciliter la conduite et la formalisation des analyses d’impact telles que prévues par le RGPD. Le logiciel permet de suivre une procédure bien définie notamment effectuant une description détaillée du traitement, en évaluant les risques et impacts sur les droits et libertés des personnes concernées et enfin en mettant en place des mesures de sécurité et garanties pour diminuer ce risques. Aucune obligation de publication n’est demandée. Toutefois, si suite à l’analyse d’impact, les risques pour la sécurité des données restent élevés, le rapport doit être transmis à la CNIL. Cette dernière peut également initier cette vérification en demandant elle-même à avoir accès à ce rapport.
Quels sont les avantages ?
La réalisation d’une analyse d’impact est un bon moyen pour les entreprises de réduire les craintes, les inquiétudes des personnes concernées quant à l’utilisation de leurs données personnelles. Elle offre également un cadre de travail précis pour parvenir à rester conforme aux exigences du RGPD et aux recommandations de la CNIL. Enfin, c’est une preuve de professionnalisme qui ne peut qu’être bénéfique auprès des partenaires, clients, administrés …
Quels risques encourus en cas de non-respect des règles en matière d’analyse d’impact ?
En cas de non-respect des règles relatives aux analyses d’impact posées par l’article 35 du RGPD, la sanction peut être est exemplaire. En effet, l’amende peut atteindre jusqu’à dix millions d’euros. Pour une entreprise, le montant retenu correspond à 2 % des chiffres d’affaires réalisés précédemment. La somme retenue étant la plus élevée.