RGPD EN ENTREPRISE: L’AIDP EST-ELLE OBLIGATOIRE ? QUAND LA METTRE EN PRATIQUE ?
Newsletter #RGPD Pratique - Le choix d'une #conformité efficace - Numéro 2/2023.
Dans le respect du RGPD, la société doit s’assurer de la correcte évaluation des risques sur les traitements de données à caractère personnel effectués au sein de son organisation. L’évaluation est réalisée par le personnel directement impliqué dans le traitement des données, avec une supervision technique, afin de pouvoir mettre en place les mesures de sécurité appropriées qui contrastent le risque identifié.
Le processus a pour objectif d'identifier les traitements qui peuvent potentiellement engendrer des risques significatifs pour les droits et libertés des personnes concernées, afin de les soumettre à l'analyse d'impact (AIDP) selon les règles définies par le RGPD et encourager des systèmes de protection appropriés et efficaces.
L’AIPD est donc un outil qui aide à construire un traitement conforme au RGPD et respectueux de la vie privée. Même si le RGPD indique clairement que l’exercice concerne les traitements de données personnelles qui sont susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes concernées, pour être sur de la correcte interprétation de cette obligation, avant de procéder l’organisation doit réaliser une analyse préliminaire des risques sur tous les traitements qu’elle a mis en œuvre.
L’évaluation préliminaire des risques sur les droits et libertés des personnes physiques faisant l'objet d'un traitement de données à caractère personnel s’applique aussi bien sur les traitements de données en phase de conception que sur les traitements existants. Cette activité suppose une activité préalable de collecte d'informations pertinentes pour chaque traitement mis en examen. Pour ce faire, le responsable du traitement s’assure que le registre des traitements soit complet, comme prévu par l’art. 30 du RGPD, et que les traitements en phase de planification fassent l’objet d’un project report détaillé et spécifique.
Concernant les traitements en phase de planification, la société doit définir une liste des projets sur la base d’une communication obtenue par les différents chefs de service. Pour chacun d’eux le project leader doit communiquer les informations prévues à l’art. 30 du RGPD, même si le traitement n’est pas encore en vigueur, car selon l’art. 25 du RGPD, « le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu'au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées qui sont destinées à mettre en œuvre les principes relatifs à la protection des données », par exemple la minimisation des données, de façon effective et à assortir le traitement des garanties nécessaires afin de répondre aux exigences du RGPD et de protéger les droits des personnes concernées. Les projets de traitements de données personnelles doivent suivre le principe de Privacy By Design et By Default et être soumis à une analyse d’impact par les développeurs de nouveaux systèmes informatiques et les responsables de service qui l’ont idéalisé.
Dans le processus d’évaluation préliminaire des risques, le responsable du traitement doit vérifier si un traitement présente ou non des caractéristiques intrinsèques pouvant impliquer un risque élevé pour les droits et libertés des personnes, et pour ce faire la société doit prendre en considération :
o L'article 35.3 du RGPD qui donne la liste des traitements pour lesquels l’AIDP est obligatoire,
o La Black List de la CNIL qui indique les traitements considérés à risque élevé par l'autorité,
Recommandé par LinkedIn
o Les 9 critères énoncés dans les lignes directrices WP248 de l’European Data Protection Board (EDPB).
Tout d’abord, l’article 35, paragraphe 3, du RGPD donne trois exemples de traitements susceptibles d’engendrer un risque élevé pour les droits et les libertés des personnes concernées qui correspondent (1) aux traitements automatisés, y compris le profilage, à partir desquels sont prises des décisions produisant des effets juridiques ou analogues à l’égard d’une personne physique ; (2) aux traitements à grande échelle de catégories particulières de données définies par les articles 9 et 10 du RGPD ; (3) la surveillance systématique à grande échelle d’une zone accessible au public. Cette liste n'est pas exhaustive mais illustrative. D’après l’art 35 du RGPD, toute opération de traitement « à haut risque » doit faire l'objet d'une AIDP.
L'étape suivante consiste en la vérification de la possible correspondance du traitement de données personnelles analysé avec la Black List de la CNIL dénommée « Liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise ». Si un traitement fait partie de la Black List de la CNIL, il est automatiquement considéré comme un traitement susceptible d’engendrer des risques et doit faire l’objet d’une analyse d’impact de facto.
Si le traitement ne trouve pas de correspondance avec les cas prévus de l'article 35.3 du RGPD, ni dans ceux de la Black List de la CNIL, il faut vérifier l’éventuelle présence des 9 critères de l’EDPB. Les lignes directrices de l’EDPB contiennent un guide, basé sur 9 critères définis avec des exemples concrets pour faciliter leur application en relation avec le traitement des données personnelles analysé. D’une manière générale, les lignes directrices indiquent que lorsque le traitement est concerné par au moins deux critères, il est susceptible de présenter un risque élevé et par conséquent il nécessite une AIPD.
L’analyse préliminaire illustrée doit faire l’objet d’un rapport d’analyse qui indique les résultats obtenus pour chaque traitements mis en œuvre ou planifiés ainsi que la conclusion sur la nécessité de réaliser une évaluation d’impact (AIDP) ou pas. L’AIDP peut être effectuée en référence à un seul traitement ou un ensemble d'opérations de traitement similaires qui présentent des risques élevés analogues.
Il est important de préciser que la décision motivée de soumettre le traitement ou pas à une analyse d’impact est requise par le principe d’Accountability et dans les cas où les traitements ne doivent pas faire l’objet d’une AIDP, la société doit s’assurer de mettre en œuvre des mesures de sécurité appropriées comme requis par l’art. 32 du RGPD.
Sur le plan opérationnel, le responsable du traitement doit démontrer la justesse de l’analyse préliminaire effectuée, car il est responsable de cette évaluation indépendante. Toute évaluation erronée peut entraîner l'omission de l’AIDP, déclenchant une violation du RGPD et une possible amende administrative.
Les activités menées dans le processus d’analyse préliminaire doivent être revue périodiquement pour les traitements existants, tous les 18 mois environ, afin de vérifier la correcte définition des éléments de contexte et de détail et de les mettre à jour. Les activités doivent donc être suivies et documentées ; les documents - en appliquant le système de gestion des versions - sont archivés dans le système documentaire centralisé de la société afin d'être disponibles en cas de demande de la part de la CNIL.