Dans le prolongement du principe de Privacy by design, c’est-à-dire la prise en compte de la protection des données dès la conception, l’article 35 du RGPD impose pour certains traitements la réalisation d’une analyse d’impact sur la protection des données (AIPD). On parle également d’étude d’impact sur la vie privée ou de Privacy Impact Assessment (PIA) en anglais.
Cette étude clé concerne non seulement les entreprises responsables de traitements de données mais également les sous-traitants fournisseurs de solution permettant de mettre en œuvre lesdits traitements.
En vertu du RGPD, le non-respect des exigences applicables en matière d’AIPD peut donner lieu à des amendes imposées par l’autorité de contrôle compétente. Le fait de ne pas effectuer d’AIPD alors que le traitement est soumis à l’obligation d’une telle analyse (article 35, paragraphes 1, 3 et 4), de réaliser l’analyse d’une manière incorrecte (article 35, paragraphes 2 et 7 à 9) ou de ne pas consulter l’autorité de contrôle compétente lorsque la situation l’exige (article 36, paragraphe 3, point e), est passible d’une amende administrative pouvant s’élever jusqu’à 10 000 000 d’euros ou, dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.
Conformément à l’approche par les risques préconisée par le RGPD, il n’est pas obligatoire d’effectuer une AIPD pour chaque opération de traitement. Une AIPD n’est requise que lorsque le traitement est «susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques» (article 35, paragraphe 1).
Plus précisément, une analyse d’impact doit être menée lorsque :
- il s’agit un traitement automatisé impliquant l’évaluation systématique et approfondie de données et produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de façon significative et similaire ;
- le traitement est réalisé à grande échelle et porte sur des données sensibles ;
- le traitement implique la surveillance systématique à grande échelle d’une zone accessible au public.
Le groupe de travail « article 29 » sur la protection des données, dans ses lignes directrices a identifié 9 critères aidant à déterminer si un traitement doit faire ou non l’objet d’une PIA, à savoir :
- l’évaluation ou le scoring, y compris le profilage ;
- la prise de décision automatique aillant des effets légaux ou similaires ;
- la surveillance systématique ;
- la collecte de données sensibles ;
- la collecte de données à grande échelle ;
- la collecte de données concernant des personnes vulnérables, telles que des enfants, des personnes âgées, des patients, etc. ;
- le croisement de données ;
- un usage innovant ou l’utilisation d’une nouvelle technologie ;
- l’exclusion du bénéfice d’un droit ou d’un contrat.
Plus le traitement de données contiendra de critères, plus l’analyse d’impact sera obligatoire.
Pour mener une PIA le responsable de traitement doit s’appuyer sur les conseils du DPO et peut demander l’avis des personnes concernées ou de leurs représentants.
S’il ressort de l’analyse d’impact que le traitement présente un risque élevé qui ne peut être atténué par des moyens raisonnables, compte tenu des techniques disponibles et des coûts, alors le responsable de traitement doit consulter l’autorité de contrôle.
Pour en savoir plus sur le contenu de cette offre ou les possibilités de mutualisation, contactez-nous pour obtenir un devis.