Cas d’école : L’analyse d’impact dans le RGPD.

Cas d’école : L’analyse d’impact dans le RGPD.

Le concept d’analyse d’impact n’est pas clair pour vous ?  Vous imaginez que c’est une formalité de plus « que Bruxelle nous impose ». C’est tout le contraire. C’est très simple et très opérationnel, et comme rien ne vaut une explication par l’exemple, je vais m’attacher à l’exercice.

J’ai 59 ans. Je suis en situation de handicap. Mon épouse a cessé de travailler pour élever nos enfants et n’a jamais repris, libérant ainsi un emploi pour une personne plus nécessiteuse, et permettant à la collectivité de ne pas avoir à supporter nos frais de crèche, de centre de loisir… et de retraite. Assez contre-intuitivement, le fait qu’elle ait fait gagner de l’argent à la collectivité la fait rentrer dans la catégorie subsidiaire des personnes « ayant droit », c’est-à-dire qu’elle a toujours été sur mon compte de caisse primaire d’assurance maladie.       

Nos âges et notre situation peuvent laisser augurer que nous pourrions avoir une demande plus importante que la moyenne en terme de soin… si l’on réfléchit un tout petit peu.

La Protection Universelle Maladie (PUMA), crée par l’article 59 de la loi de finance de 2016 vise à ouvrir des droits individuels et nominatifs à tous travailleurs ou résidents stables en France.

Dans ce cadre, avec la latence ordinaire des pratiques administratives, La CPAM a lancé une grande opération de nettoyage de ses fichiers, dite « Opération PUMA », et au passage, dans le Val d’Oise, a radié par erreur 7500 personnes et ayant droits dont votre serviteur et ses ayant-droits.

L’erreur est humaine.

Mais les conséquences sont que, n’ayant plus de droit à la sécurité sociale, vous n’avez plus non plus vos droits à la mutuelle, que si vous devez changer de travail ou faire tout un ensemble de démarches, vous êtes dans l’incapacité de justifier de votre situation au regard de l’assurance maladie. Ça, ce sont les conséquences très pratiques.

Ce qui est plus insidieux, c’est que vous ne le découvrirez qu’au moment le pire, par exemple lorsqu’un prestataire de santé vérifiera votre carte vitale. Et s’il s’agit d’un passage aux urgences, cela peut devenir rapidement compliqué.

A l’évidence, avant de faire son traitement dans le cadre de l’opération « PUMA », la CPAM du Val d’Oise n’a pas procédé à l’analyse d’impact. Les plaintes s’accumulant, elle a été obligé de faire marche arrière et de re-créditer les droits supprimés. Mais comme les cartes vitales de ces personnes ont été invalidées, il faudra un délai pour la refabrication.

On peut imaginer, pour ce qui concerne ce traitement PUMA, qu’il ne s’agit vraisemblablement que d’une petite requête SQL mal à propos. Rien de plus. Avec des conséquences importantes.

Voyons ce qu’il aurait fallu faire

Le RGPD nous indique de manière très claire quand faire une analyse d’impact, à travers quatre étapes :

Première étape

Déjà, avant de lancer votre traitement, (Article 35.4 du RGPD) vous regardez s’il n’est pas sur la liste des traitements pour lesquels l’analyse d’impact est obligatoire. Cette liste est publiée au journal officiel. La CNIL en a fait un résumé ici : https://www.cnil.fr/sites/default/files/atoms/files/liste-traitements-avec-aipd-requise-v2.pdf

Si la CPAM avait consulté cette liste, elle aurait immédiatement vu qu’elle était dans le cas n°1 dans le cadre de l’opération PUMA, et que donc elle devait lancer son analyse d’impact.

Deuxième étape

Si vous ne trouvez pas votre traitement dans cette liste, alors, vous vous posez neuf questions, et si vous répondez par la positive à seulement deux de ces questions, alors vous avez l’obligation légale de faire, et documenter, votre analyse d’impact. Quelles sont ces questions ?

Cas 1) Je fais une évaluation, du scoring, du profilage ?

Cas 2) Mon traitement produit-il une décision automatique avec effet légal ou similaire ?

Cas 3) Mon traitement consiste-t-il en une surveillance systématique ?

Cas 4) Je traite des données sensibles ou hautement personnelles ?

Cas 5) Je fais une collecte à large échelle (soit géographique, soit en nombre d'enregistrements) ?

Cas 6) Je croise des données ?

Cas 7) Je traite une population fragile (des handicapés, des personnes malades, des mineurs etc...) ?

Cas 8) J'utilise une technologie innovante : par exemple l'analyse génétique ?

Cas 9) Le traitement peut résulter en l'exclusion du bénéfice d'un droit ?

En l’espèce, dans le cadre de l’opération PUMA, nous sommes dans les cas 2, cas 4, cas 5, cas 6, cas 7 et cas 9…Il y a donc le choix...

Troisième étape

Quand bien même vous n’auriez répondu par la positive qu’à une seule des questions précédentes, alors il aurait fallu se poser la question suivante : « Ce traitement peut-il produire un risque élevé pour la personne ». Dans notre exemple, je vous laisse juge. En attendant, j’avance moi-même mes frais d’hospitalisation.

Il n’est jamais bon de faire des choses sans en comprendre le sens, et c’est l’essence-même du RGPD.

Maintenant qu’on a compris dans quel cas faire l’analyse d’impact, il faut en comprendre le sens : C’est assez simple. Le RGPD vous impose de réfléchir aux conséquences de ce que vous allez faire, avant de le faire et non pas une fois que le mal est fait. Ce n’est donc pas une formalité pour juste vous ennuyer c’est exactement le contraire. Il vous demande d’envisager les conséquences de votre traitement et d’être capable d’anticiper les contre-mesures en cas de problème, dans un cadre qui est relativement souple puisqu’il ne vous demande de réfléchir et de documenter uniquement neuf thèmes :

1) le nom du processus, et une description sommaire, c'est à dire QUOI

2) les finalités poursuivies par le traitement, c'est à dire POURQUOI

3) une évaluation de la nécessité et de la proportionnalité du traitement au regard de la finalité poursuivie, c'est à dire COMMENT

4) si l’on traite des données sensibles et de quelle population, c'est à dire SUR QUOI

5) quel est le risque pour la personne concernée, en cas de compromission des données traitées, c'est à dire ET SI...

6) une évaluation de l'impact (probabilité et impact), c'est à  dire ALORS...

7) une description de la contre-mesure proposée pour diminuer le risque pour la personne concernée, c'est à dire DONC

8) la description du risque résiduel, c'est à dire AU FINAL...

9) la conclusion par rapport à la réduction du risque, c'est à dire, JE MAITRISE...OU PAS VRAIMENT...

Quatrième étape

Si vous n’arrivez pas à démontrer que vous maitrisez le risque, alors un avis de la CNIL est obligatoire.

Il sera bon de stocker cette analyse avec votre registre des traitements, c’est-à-dire la liste de tous les processus que vous faites avec les données à caractère personnel que vous traitez.

Il est bon de rappeler que si le registre des traitements est privé pour les entreprises, il est communicable à qui en fait la demande pour les organismes publics….

Pour conclure

Les données ont de la valeur. Beaucoup de valeur. De plus en plus de valeur. Mais elles n’ont de valeur pour l’économie que si elles sont à jour, et maitrisées.

Vous l’aurez compris, à travers cet exemple très opérationnel, que dans le cadre de l’opération PUMA, la CPAM n’a probablement pas mené d’analyse d’impact, ou à l’évidence l’a mené de manière incorrecte.

Nous avons vu à travers cet exemple que l’analyse d’impact n’est pas juste une formalité, mais un processus de réflexion sur son traitement, processus dont l’objectif est d’obtenir des données de meilleur qualité en se donnant comme moyen le respect du droit des personnes.

Il s’agit d’un des enjeux majeurs du RGPD. Les entreprises qui ne l’ont pas compris n’existeront plus dans dix ans.