L’article 35 du RGPD fixe les critères pour déterminer le caractère obligatoire ou non d’une analyse d’impact relative à la protection des données (ou Privacy Impact Assessment). Toutefois, leur caractère général sème parfois le trouble dans l’esprit des responsables de traitement, qui peuvent avoir des difficultés pour les appliquer à des cas concrets. C’est notamment les notions de risque élevé et de grande échelle qui posent parfois difficulté aux praticiens.
Or, les conséquences de ces incertitudes peuvent être importantes, notamment pour les responsables de traitement qui effectuent de nombreux traitements susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes concernées. En effet, une étude d’impact est une analyse complète d’un traitement, au plan juridique comme technique (étude des mesures de sécurité mises en place), qui nécessite une mobilisation non négligeable de collaborateurs internes ou externes, aux compétences complémentaires. Il est naturellement préférable pour le responsable de traitement d’économiser ses ressources pour mener correctement les actions de conformité réellement nécessaires.
Des critères généraux…
Le rôle de l’analyse d’impact est précisé au considérant 84 du RGPD, qui expose que l’objet d’une AIPD est d’« évaluer, en particulier, l’origine, la nature, la particularité et la gravité » du risque pour les droits et libertés des personnes.
Or, c’est bien, en premier lieu, le caractère élevé du risque qui déclenche la nécessité d’établir une étude d’impact, et donc le premier élément à analyser.
L’article 35.3 du RGPD guide le responsable de traitement en précisant les cas dans lesquels une analyse d’impact est requise, « en particulier » :
- L’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques fondée sur un traitement automatisé, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à leur égard ;
- Le traitement à grande échelle de catégories particulières de données visées à l’article 9 paragraphe 1 ;
- La surveillance systématique à grande échelle d’une zone accessible au public.
Ces critères ne sont toutefois aucunement exhaustifs et restent généraux. Des lignes directrices du G29 du 4 avril 2017 les précisent utilement.
…Précisés par le G29…
Le G29 liste 9 critères, tirés des références au risque pour les droits et libertés des personnes dans le RGPD. Plus ces critères s’appliquent à un traitement, plus le PIA doit être considéré comme nécessaire. Toutefois, il s’agit d’une aide à l’analyse, qui peut aller dans un sens ou dans l’autre, dès lors que le raisonnement du responsable de traitement est justifié et documenté. Par exemple, si plusieurs critères sont remplis, mais que le responsable de traitement estime qu’ils ne sont pas suffisants pour caractériser un risque élevé, il devra documenter sa décision argumentée et faire référence à l’opinion du DPO. A l’inverse, un traitement satisfaisant à un seul critère peut être susceptible de générer un risque élevé et être soumis à l’obligation d’effectuer une AIPD.
Le G29 considère cependant qu’un traitement satisfaisant deux critères devra, de manière générale, être soumis à une AIPD.
Parmi ces critères, le G29 relève en premier lieu les traitements d’évaluation et de notation, notamment ceux visant à évaluer des aspects personnels des personnes concernées, comme « le rendement au travail, la situation économique, les préférences ou les centres d’intérêts personnels » en référence au considérant 75 du RGPD.
La notion de grande échelle est également utilement précisée. Le G29 recommande de tenir compte, en particulier, des facteurs suivants :
- Le nombre de personnes considérées, soit en valeur absolue, soit en proportion de la population considérée ;
- Le volume des données et/ou les éléments constitutifs des données traitées ;
- La durée ou la permanence de l’activité de traitement de données ;
- L’étendue géographique de l’activité de traitement.
Les lignes directrices précitées donnent également de nombreux exemples, permettant d’illustrer l’application de ces critères. Il est ainsi nécessaire de lire l’article 35 du RGPD à travers leur prisme.
…et les délibérations de la CNIL
La CNIL a publié une délibération listant les traitements pour lesquels une analyse d’impact est requise conformément à l’article 35.4 du RGPD. Une liste des traitements pour lesquels une telle analyse n’est pas requise a également été publiée, comme le prévoit l’article 35.5.
Aspects pratiques
Il peut être utile, lorsqu’un responsable de traitement doit analyser le risque présenté par de nombreux traitements, de systématiser une pré-analyse adaptée à son activité permettant d’évaluer l’existence d’un risque élevé, lui permettant de sélectionner les traitements destinés à faire l’objet d’une AIPD.
L’analyse d’impact n’est pas un document figé et doit être mise à jour en même temps que les évolutions du traitement : des changements techniques ou d’échelle peuvent modifier le résultat de la précédente analyse. Le G29 propose également en annexe 2 de ses lignes directrices une « check list » pour vérifier qu’une analyse est suffisamment complète.
Enfin, pour rappel, l’analyse d’impact, réalisée avec ou sans l’aide du logiciel mis à disposition par la CNIL, est interne à l’entreprise, et ne doit être communiquée à la CNIL qu’en cas de risque résiduel élevé pour les droits et libertés des personnes concernées.