RGPD : COMMENT ÉVALUER ET CONTRER UN TRAITEMENT À RISQUE ÉLEVÉ ?
Par Gérard HAAS et Emerance CHAMBAUD
30 septembre 2018
Le RGPD introduit la notion de « risque élevé pour les droits et libertés des personnes physiques » comme contrepoids aux projets et traitements mis en œuvre et imaginés par les responsables de traitement.
Cette notion intervient dans le devoir des responsables de traitement et de leurs sous-traitants, de mettre en œuvre, a priori, des traitements conformes au RGPD, et respectueux des droits et libertés des personnes, et notamment de leur vie privée.
Cet élément figure notamment à l’article 35 du RGPD, qui introduit l’obligation de réaliser une analyse d’impact lorsque le traitement « est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques ».
Cette notion de « risque élevé » n’est pas définie plus en détails au sein du RGPD, alors qu’elle revêt une importance non négligeable.
1. La notion de risque élevé
La CNIL définit le risque comme « un scénario décrivant un évènement redouté et toutes les menaces qui le rendent possibles »[1], estimé en termes de gravité et de probabilité.
Pour l’autorité de contrôle belge[2], la notion de risque élevé « renvoie aux traitements de données qui sont ou pourront être susceptibles d’avoir des incidences négatives sensibles pour les libertés et droits fondamentaux des personnes physiques ».
Les « droits et libertés des personnes physiques » rappellent la Charte des droits fondamentaux de l’Union Européenne, proclamée le 7 décembre 2000, avec notamment le droit à la vie privée, la liberté de parole et de pensée, l’interdiction de toute discrimination, la liberté de conscience et de religion.
2. L’approche par l’analyse d’impact
L’objectif de l’analyse d’impact est justement de contrer et d’annihiler le risque élevé, en évaluant la probabilité et la gravité particulières du risque élevé, compte tenu de la nature, de la portée, du contexte et des finalités du traitement, et des sources du risque. Il en ressort les mesures appropriées à mettre en place afin de permettre que la mise en œuvre du traitement s’effectue en toute sécurité pour la protection des données personnelles, et ce tout au long du cycle de vie de la donnée.
Le RGPD énumère à l’article 35, trois exemples de traitements où une analyse d’impact est nécessaire :
- l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques,
- un traitement effectué à grande échelle de catégories particulières,
- la surveillance systématique à grande échelle d’une zone accessible au public.
Ces traitements induisent, en conséquence, un risque élevé pour les personnes concernées.
Sans plus de détails du RGPD, et dans une approche pratique, le Groupe de l’Article 29 (G29)[3], a élaboré un ensemble de neuf critères permettant de qualifier le risque.
Le traitement est « susceptible d’engendrer un risque élevé » lorsqu’il comprend une ou plusieurs opérations suivantes :
- l’évaluation ou le scoring, notamment le profilage,
- une décision automatique produisant un effet juridique ou similaire,
- la surveillance systématique,
- les données sensibles,
- la collecte à grande échelle,
- le croisement ou la combinaison de données,
- les personnes vulnérables, c’est-à-dire se trouvant dans une situation déséquilibrée, notamment les mineurs, les employés, ou les personnes âgées,
- un usage innovant, notamment l’empreinte digitale, la reconnaissance faciale, ou les objets connectés,
- ou s’il provoque l’exclusion du bénéfice d’un droit ou d’un contrat.
Dans son analyse, le G29 considère qu’un traitement répondant à au moins deux de ces critères nécessite une analyse d’impact. Cependant, en fonction de la sensibilité du traitement, un seul critère peut suffire à déclencher la nécessité d’une analyse.
L’analyse d’impact permet de gérer les risques et de déterminer les mesures à prendre pour y faire face. En trois étapes, établir le risque, apprécier le risque et traiter le risque.
Les sources du risque peuvent être humaines, de manière interne (un salarié), ou externe (un destinataire de données, un ancien employé, un journaliste), ou une source non humaine (un virus).
Les évènements redoutés peuvent provoquer des dommages corporels, matériels, ou moraux, de manière directe ou indirecte. Selon leur gravité, ce peut être la réception de courriers non sollicités, l’intrusion commerciale, des paiements non prévus, la réception de courriers ciblés non sollicités, le profilage abusif, la diffamation ou l’atteinte à la réputation, l’intimidation sur les réseaux sociaux, la perte financière à la suite d’une escroquerie, la perte de données clientèle, le harcèlement moral, ou le péril financier.
Dans l’hypothèse où, à la suite de l’analyse d’impact, des risques résiduels élevés subsisteraient, le responsable de traitement devra consulter la CNIL avant de mettre en œuvre ce traitement, article 36, seule celle-ci pourra l’autoriser ou énumérer des mesures complémentaires.
Les autorités de contrôle, dans le cadre de leurs missions, pourront élaborer une liste des traitements concernés par la réalisation préalable d’une analyse d’impact. Cette liste est en cours d’élaboration par la CNIL. Seront associées aux traitements risqués identifiés, des lignes directrices et des mesures « clé en main ».
3. L’approche lors des violations de sécurité
Dans cette même approche de protection des personnes concernées, cette notion de risque élevé se rencontre également lors de la survenance de violations de données personnelles.
Dans ce cas-ci, le RGPD oblige les responsables de traitement à communiquer la violation à l’autorité de contrôle, article 33, mais également à la personne concernée, article 34 du RGPD.
Le responsable de traitement communique aux personnes concernées par la faille de sécurité, la nature de la violation et les conséquences probables, ainsi que des recommandations afin d’en atténuer les effets négatifs.
Le risque le plus redouté en cas d’attaque et d’intrusion des bases de données personnelles, serait l’usurpation d’identité.
[1] Analyse d’impact relative à la protection des données – La méthode, édition février 2018
[2] Recommandation d’initiative concernant l’analyse d’impact relative à la protection des données et la consultation préalable n°01/2018 du 28 février 2018
[3] Lignes directrices concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est « susceptible d’engendrer un risque élevé » aux fins du règlement UE 2016/679, adoptées le 4 avril 2017