Si vous avez identifié des traitements de données personnelles susceptibles d'engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devez mener, pour chacun de ces traitements, une analyse d'impact relative à la protection des données (AIPD, en anglais, Data Protection Impact Assessment ou DPIA).
L’analyse d’impact relative à la protection des données permet :
- d'élaborer un traitement de données personnelles ou un produit respectueux de la vie privée,
- d’apprécier les impacts sur la vie privée des personnes concernées,
- de démontrer que les principes fondamentaux du règlement sont respectés.
L’enjeu est d’apprécier les risques sur la protection des données du point de vue des personnes concernées.
Conformément à l’article 35.4 du RGPD, la CNPD a élaboré une liste de types d’opération de traitement pour lesquels elle estime qu’une analyse d’impact sur la protection des données est obligatoire dans tous les cas :
Liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise (Art. 35.4 du RGPD)
- Les opérations de traitement portant sur des données génétiques telles que définies à l'article 4 (13) du RGPD, en combinaison avec au moins un autre critère figurant dans les lignes directrices du Comité européen de la protection des données (ci-après : CEPD »),[1] à l'exception des professionnels de santé qui fournissent des services de santé ;
- Les opérations de traitement qui incluent des données biométriques telles que définies à l'article 4 (14) du RGPD aux fins d'identification des personnes concernées en combinaison avec au moins un autre critère des lignes directrices du CEPD ;
- Les opérations de traitement impliquant la combinaison, la correspondance ou la comparaison de données à caractère personnel collectées à partir d'opérations de traitement ayant des finalités différentes (provenant du même ou de différents responsables du traitement) - à condition qu'elles produisent des effets juridiques à l’égard de la personne physique ou aient une incidence significative et similaire sur la personne physique ;
- Les opérations de traitement qui consistent en ou qui comprennent un contrôle régulier et systématique des activités des employés - à condition qu’elles puissent produire des effets juridiques à l’égard des employés ou les affecter de manière aussi significative ;
- Les opérations de traitement de fichiers susceptibles de contenir des données à caractère personnel de l’ensemble de la population nationale, à condition qu’une telle DPIA n’ait pas déjà été réalisée dans le cadre d’une analyse d’impact générale dans le contexte de l’adoption de cette base juridique ;
- Les opérations de traitement à des fins de recherche scientifique ou historique ou à des fins statistiques au sens des articles 63 à 65 de la loi du 1er août 2018 portant organisation de la Commission nationale pour la protection des données et du régime général sur la protection des données ;
- Les opérations de traitement qui consistent en un suivi systématique de la localisation de personnes physiques ;
- Les opérations de traitement reposant sur la collecte indirecte de données à caractère personnel en conjonction avec au moins un autre critère des lignes directrices du CEPD lorsqu'il n’est ni possible / ni réalisable de garantir le droit à l'information.
[1] Le Comité européen de la protection des données a approuvé lesdites lignes directrices de son prédécesseur, le groupe de travail « Article 29 », le 25 mai 2018 par le document « Endorsement 1/2018 ».
1. Quels sont les objectifs d’une analyse d’impact relative à la protection des données (AIPD) ?
Lorsqu’une opération de traitement est susceptible d’engendrer un risque élevé pour les droits et libertés de personnes physiques, il est requis pour l’entité qui est responsable du traitement d’effectuer une analyse d’impact relative à la protection des données.
Les AIPD sont des outils qui aident à identifier et à minimiser les risques de protection des données de nouveaux projets. Elles font partie de vos obligations de responsabilité sous le RGPD et contribuent fortement à l’approche de protection des données dès la conception et protection des données par défaut.
Une AIPD vous aide à identifier et à traiter les problèmes à un stade précoce, à démontrer votre conformité avec les obligations de protection des données, répondre aux attentes des individus en matière de vie privée et aide à éviter les atteintes à la réputation qui pourraient se produire.
A cet effet, il est important d’intégrer les AIPD dans les processus organisationnels de l’entité et s’assurer que les résultats influencent les plans de l’entité.
Dans certains cas, le RGPD requiert obligatoirement la mise en œuvre d’une AIPD, mais les AIPD peuvent également être utiles dans d’autres situations.
2. Qu’entend-t-on par les droits et libertés des personnes physiques ?
La référence aux droits et libertés des personnes physiques vise principalement la protection des données et la protection de la vie privée mais s’étend également, le cas échéant, à d’autres droits fondamentaux, tels que la liberté de parole, la liberté de pensée, la liberté de circulation, l’interdiction de toute discrimination, le droit à la liberté ainsi que la liberté de conscience et de religion.
3. Quand faut-il effectuer une analyse d’impact relative à la protection des données ?
Une AIPD est requise lorsque le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes.
Une AIPD est requise en particulier dans les cas suivants:
- l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire;
- le traitement à grande échelle de catégories particulières de données visées à l’article 9, paragraphe 1 (RGPD), ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10 (RGPD); ou
- la surveillance systématique à grande échelle d’une zone accessible au public.
Une AIPD peut également être effectuée de façon volontaire afin d’identifier et de traiter au mieux les risques, même moindre, sur les droits et libertés des personnes physiques.
Nous vous recommandons de consulter les lignes directrices du groupe de travail européen des autorités de protection concernant l’analyse d’impact relative à la protection des données et la manière de déterminer si le traitement est « susceptible d’engendrer un risque élevé » .
Exemples :
Exemple de traitement |
Critère « risque élevé ? » |
AIPD nécessaire ? |
Un hôpital traite les données de santé et les données génétiques de ces patients (système informatique de l’hôpital). |
|
Oui |
L’utilisation de caméras pour surveiller le comportement de conduite sur les autoroutes. Le responsable du traitement envisage d’utiliser un système d’analyse vidéo intelligent pour reconnaître automatiquement les plaques d’immatriculation des voitures. |
|
Oui |
Une société surveille l'usage de l'outil informatique: Internet, e-mails, ordinateurs, logiciels,... |
|
Oui |
Un magazine en ligne qui utilise une liste de diffusion pour envoyer un résumé quotidien des actualités à ses abonnés. |
|
Non |
Un site de commerce en ligne affiche des annonces pour des accessoires de voitures en utilisant du profilage limité sur les derniers achats. |
|
Non |
4. Sur quoi une analyse d’impact relative à la protection des données peut-elle porter ?
Une AIPD peut concerner une opération de traitement de données unique et elle peut également être utilisée pour évaluer plusieurs opérations de traitement similaires en termes de nature, de portée, de contexte, de finalités et de risques.
5. Que doit contenir une analyse d’impact relative à la protection des données?
Les critères suivants peuvent être utilisés par les responsables du traitement pour déterminer si une AIPD ou une méthodologie d’AIPD considérée est suffisamment complète aux fins du respect des exigences du RGPD:
- une description systématique du traitement est fournie [article 35, paragraphe 7, point a)]:
- la nature, la portée, le contexte et les finalités du traitement sont pris en compte (considérant 90);
- les données à caractère personnel concernées, les destinataires et la durée pendant laquelle les données à caractère personnel seront conservées sont précisés;
- une description fonctionnelle de l’opération de traitement est fournie;
- les actifs sur lesquels reposent les données à caractère personnel (matériels, logiciels, réseaux, personnes, documents papier ou canaux de transmission papier) sont identifiés;
- le respect de codes de conduite approuvés est pris en compte (article 35, paragraphe 8);
- la nécessité et la proportionnalité sont évaluées [article 35, paragraphe 7, point b)]:
- les mesures envisagées pour assurer la conformité au règlement sont déterminées [article 35, paragraphe 7, point d), et considérant 90], avec prise en compte:
- de mesures contribuant au respect des principes de proportionnalité et de nécessité du traitement, fondées sur les exigences suivantes:
- finalités déterminées, explicites et légitimes (article 5, paragraphe 1, point b)];
- licéité du traitement (article 6);
- données adéquates, pertinentes et limitées à ce qui est nécessaire [article 5, paragraphe 1, point c)];
- durée de conservation limitée [article 5, paragraphe 1, point e)];
- de mesures contribuant aux droits des personnes concernées:
- informations fournies à la personne concernée (articles 12, 13 et 14);
- droit d’accès et droit à la portabilité des données (articles 15 et 20);
- droit de rectification et droit à l’effacement (articles 16, 17 et 19);
- droit d’opposition et droit à la limitation du traitement (articles 18, 19 et 21);
- relations avec les sous-traitants (article 28);
- garanties entourant le ou les transferts internationaux (chapitre V);
- consultation préalable (article 36);
- de mesures contribuant au respect des principes de proportionnalité et de nécessité du traitement, fondées sur les exigences suivantes:
- les mesures envisagées pour assurer la conformité au règlement sont déterminées [article 35, paragraphe 7, point d), et considérant 90], avec prise en compte:
- les risques pour les droits et libertés des personnes concernées sont gérés [article 35, paragraphe 7, point c)]:
- l’origine, la nature, la particularité et la gravité des risques sont évalués (considérant 84) ou, plus spécifiquement, pour chaque risque (accès illégitime aux données, modification non désirée des données, disparition des données) du point de vue des personnes concernées:
- les sources de risques sont prises en compte (considérant 90);
- les impacts potentiels sur les droits et libertés des personnes concernées sont identifiés en cas d’événements tels qu’un accès illégitime aux données, une modification non désirée de celles-ci ou leur disparition.
- les menaces qui pourraient conduire à un accès illégitime aux données, à une modification non désirée de celles-ci ou à leur disparition sont identifiées;
- la probabilité et la gravité sont évaluées (considérant 90);
- les mesures envisagées pour faire face à ces risques sont déterminées [article 35, paragraphe 7, point d), et considérant 90];
- l’origine, la nature, la particularité et la gravité des risques sont évalués (considérant 84) ou, plus spécifiquement, pour chaque risque (accès illégitime aux données, modification non désirée des données, disparition des données) du point de vue des personnes concernées:
- les parties intéressées sont impliquées:
- l’avis du DPD est recueilli (article 35, paragraphe 2);
- le point de vue des personnes concernées ou de leurs représentants est recueilli, le cas échéant (article 35, paragraphe 9).
6. J’ai eu une autorisation de la CNPD pour effectuer un traitement sous le régime de la loi modifiée du 2 août 2002. Dois-je effectuer une analyse d’impact relative à la protection des données ?
L’obligation d’effectuer une AIPD s’applique aux opérations de traitement existantes susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques et pour lesquelles les risques associés ont évolué, compte tenu de la nature, de la portée, du contexte et des finalités du traitement.
Si la mise en œuvre des opérations de traitement a été autorisée, dans le cadre d’une demande d’autorisation préalable, par la CNPD et que cette mise en œuvre des opérations de traitements n’a pas changé depuis le contrôle préalable, il n’est pas obligatoire d’effectuer une AIPD.
À l’inverse, ceci signifie que tout traitement de données dont les conditions de mise en oeuvre (portée, finalités, données à caractère personnel collectées, identité des responsables du traitement ou des destinataires des données, durée de conservation des données, mesures techniques et organisationnelles, etc.) ont changé depuis l’émission de l’autorisation par la CNPD et sont susceptibles d’engendrer un risque élevé doit faire l’objet d’une AIPD.
De plus, une AIPD peut être nécessaire à la suite d’une évolution des risques découlant des opérations de traitement, par exemple en raison du recours à une nouvelle technologie ou de l’utilisation des données à caractère personnel à des fins différentes. Les opérations de traitement peuvent évoluer rapidement et de nouvelles vulnérabilités peuvent apparaître. Par conséquent, il convient de noter que la révision d’une AIPD est non seulement utile dans un souci d’amélioration continue, mais également essentielle pour maintenir le niveau de protection des données dans un environnement qui change au fil du temps. Une AIPD peut également devenir nécessaire du fait d’une évolution du contexte organisationnel ou sociétal de l’activité de traitement, par exemple s’il s’avère que les effets de certaines décisions automatisées se sont accrus ou que de nouvelles catégories de personnes concernées apparaissent vulnérables à la discrimination. Dans chacun de ces exemples, le facteur en cause peut entraîner une évolution des risques découlant de l’activité de traitement concernée.
Inversement, certaines évolutions peuvent aussi réduire les risques. Prenons par exemple le cas d’une opération de traitement ayant évolué de telle sorte que les prises de décisions ne sont plus automatisées ou celui d’une activité de surveillance ayant perdu son caractère systématique. Dans ce cas, le réexamen des risques peut montrer qu’une AIPD n’est plus nécessaire.
7. Quand une entité doit-elle soumettre une analyse d’impact pour une consultation préalable au traitement à la CNPD ?
Si dans l’analyse de risques sur les droits et libertés des personnes concernées de l’AIPD il en résulte un (ou plusieurs) risque résiduel élevé non traité, l’entité doit consulter la CNPD qui va donner un avis sur le traitement envisagé et sa gestion des risques (consultation préalable).
Le traitement ne peut pas être mis en œuvre avant la réception de l’avis de la CNPD, et le cas échéant, la mise en œuvre des recommandations dudit avis.
8. Que faut-il fournir comme information dans le cadre d’une consultation préalable ?
La demande de consultation préalable doit être transmise à la CNPD avec le formulaire de soumission d’une analyse d’impact ci-joint. Il est impératif que l’analyse d’impact traite tous les critères de recevabilité de la section « 2. Critères d’acceptabilité d’une analyse d’impact sur la protection des données » du formulaire.
Des critères manquants peuvent entrainer la suspension du délai de traitement de l’AIPD jusqu’à obtention de la part du responsable de traitement des informations manquantes.
La CNPD peut demander tout autre information utile pour aviser l’AIPD.
9. Comment une analyse d’impact peut-elle être soumise à la CNPD ?
La demande de consultation préalable est à envoyer à l’adresse email : aipd@cnpd.lu
Vous pouvez utiliser la clé de chiffrement ci-jointe afin de garantir la confidentialité de vos documents lors du transfert.
10. Que fait la CNPD lorsqu’une analyse d’impact lui est soumise ?
La CNPD analyse la gestion du risque résiduel lié à l’AIPD.
Elle dispose d’un délai maximum de 8 semaines à compter de la réception de la demande de consultation pour fournir un avis écrit au responsable de traitement, le cas échéant, au sous-traitant. Ce délai peut être prolongé de 6 semaines, en fonction de la complexité du traitement envisagé.
La CNPD informera le responsable du traitement et, le cas échéant, le sous-traitant de la prolongation du délai ainsi que des motifs du retard, dans un délai d'un mois à compter de la réception de la demande de consultation. Ces délais peuvent être suspendus jusqu'à ce que la CNPD ait obtenu les informations qu'elle a demandées pour les besoins de la consultation.
11. A quelle fréquence faut-il réévaluer son analyse d’impact ?
Une AIPD ne doit pas être vue comme un exercice unique. Une AIPD est un processus continu qui vous aide à gérer et réexaminer les risques liés à des traitements ainsi que les mesures mises. Il est important de garder une visibilité sur les changements et de réévaluer l’AIPD si quelque chose change dans le contexte du traitement.
Si vous effectuez des changements significatifs sur comment ou pourquoi des données à caractère personnel sont traitées, ou sur la quantité de données collectées, vous devez démontrer que votre AIPD évalue les nouveaux risques liés à ces changements.
12. Faut-il publier une analyse d’impact ?
La publication d’une AIPD n’est pas requise par le RGPD.
Toutefois la publication d’un résumé d’une AIPD peut contribuer à la transparence du traitement concerné et à la confiance des personnes concernées quant aux respects de leurs droits et libertés.
Définitions :
- « Nouvelles technologies » : traitement impliquant l’usage de nouvelles technologies or de nouvelles application de technologies existante (par exemple l’intelligence artificielle).
- « tracer un individu » : traitement qui implique de tracer la géolocalisation ou le comportement d’individus, incluant, y compris mais non limité à l’environnement en ligne.
- « cibler des enfants » : l’usage de données à caractère personnel d’enfants à des fins de marketing, de profilage ou de décisions automatisées ou l’intention d’offrir des services directement en ligne à des enfants.