• xdpo

Comment réaliser une AIPD : Analyse d'Impact relative à la Protection des Données

Dernière mise à jour : il y a 2 jours



A l'issue de cet article vous saurez:



L’AIPD est un outil qui concerne les traitements de données qui sont susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes concernées.


Véritable pilier du RGPD, cet exercice permet d'avoir un aperçu complet d'un traitement, des éventuelles menaces, des mesures de protection et des actions à entreprendre pour gérer les risques résiduels.


Mais sa mise en œuvre est complexe : de la décision de conduire une AIPD aux étapes de sa mise en œuvre, C'est pourquoi nous vous proposons de lister les points essentiels qui vous permettront de réaliser une analyse d'impact relative à la protection des données (AIPD).


🚨Un indice : si vous mettez en place des traitements de données sensibles (santé, politique, racial, ...) , ou sur des personnes "vulnérables" (mineurs, personnes agées, handicaps, ...) et à grande échelle, vous devez vérifier si les critères ci dessous sont atteints.



Quels sont les critères de réalisation d'une AIPD?


Une AIPD est obligatoire dès lors qu'un traitement de données personnelles est susceptible d'engendrer un risque élevé pour les droits et les libertés des personnes concernées.


👉Dans la pratique, le responsable de traitement doit


1. vérifier si le traitement fait partie des traitements pour lesquels une AIPD n'est pas obligatoire (voir le fichier ci-dessous)


liste-traitements-aipd-non-requise
.pdf
Download PDF • 220KB

puis le cas échéant,


2. vérifier si le traitement fait partie des traitements pour lesquels une AIPD est obligatoire (voir le fichier ci-dessous)


liste-traitements-aipd-requise
.pdf
Download PDF • 234KB

puis le cas échéant,


3. vérifier si le traitement a au moins deux des neufs critères ci-dessous (auquel cas une AIPD est nécessaire):

​Evaluation ou le scoring (y compris le profilage)

​Particulièrement quand cela concerne le rendement au travail de la personne concernée, sa situation économique, sa santé, sa fiabilité, son comportement ou sa localisation.

Décision automatique avec effet légal ou similaire

Cela concerne notamment le risque d'exclusion ou de discrimination. Lorsque les effets sont minimes alors le traitement n'est pas considéré comme remplissant ce critère.

Surveillance systématique

L'observation, la surveillance ou le contrôle de la personne concernée, y compris sur les réseaux sociaux

Collecte de données sensibles ou des données à caractère hautement personnel

​Sont concernées les données d'origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, données génétiques ou de santé, données biométriques et données concernant la vie ou l’orientation sexuelle.

Ainsi que les données relatives à des condamnations pénales, infractions ou mesures de sûreté et le numéro de sécurité sociale

Collecte de données à large échelle

Pour évaluer la grande échelle, il prendre en compte le nombre de personne concernée (proportionnellement), le volume de données traitées, le durée et l'étendue géographique du traitement.

Croisement de données

​Des données de deux opérations de traitement différents par le même ou différents responsables de traitement

Collecte des données personnelles de personnes vulnérables

Sont concernées les données des mineurs, des personnes âgées, des patients, des réfugiés...

Usage innovant (utilisation de nouvelles technologies)

Sont concernés les dispositifs biométriques ou encore l'internet des objets

Exclusion du bénéfice d'un droit ou d'un contrat

Sont concernés les traitements qui vise à autoriser, modifier ou refuser l'accès à un service ou un contrat


Qui doit réaliser l'AIPD?


L'AIPD doit être réalisée par le responsable de traitement avec l'aide d'un DPO (qu'il soit interne ou externe).

Mais pour réaliser une AIPD complète, doivent être impliqué dans le processus toutes les parties prenantes :

  • les agents opérationnels qui ont la meilleure connaissance des flux de données

  • le(s) sous-traitant(s), qui est soumis à l'obligation d'aider le responsable de traitement dans la réalisation des AIPD

  • le service informatique, particulièrement pour déterminer les mesures de sécurité techniques mise en œuvre

  • dans certains cas, les personnes concernées pour favoriser la transparence (leur participation peut passer par des enquêtes publiques par exemple).


La réalisation d'une AIPD se décompose en 5 étapes majeures :


1️⃣ Etape 1 : Le traitement concerné


Dans un premier temps, une description précise du traitement et du flux de données est demandé. Cette partie peut être remplie par l'équipe opérationnelle.

Il vous faudra identifier les différentes parties prenantes : le responsable de traitement ainsi que les éventuels sous-traitants.

Puis, il est sera nécessaire de décrire le traitement dans son ensemble : sa nature, sa portée, ses finalités, les catégories de données personnelles concernées, les destinataires et les durées de conservation et finalement les supports des données.


Dans un deuxième temps, une évaluation des mesures garantissant la proportionnalité et la nécessité du traitement est à réalisé. Une bonne connaissance des grands principes du RGPD est requise pour remplir correctement cette partie de l'AIPD. Le DPO sera vous guider dans la rédaction.

Il va falloir définir avec précision les finalités du traitement mais aussi son fondement juridique, les mesures mises en place pour minimiser la collecte, garantir la qualité des données et respecter des durées de conservation limité.


Finalement, le responsable de traitement devra expliquer les moyens qu'il met en œuvre pour respecter les droits des personnes concernées et le recueil du consentement quand il est nécessaire.


Pour vous aider à rédiger cette première étape, vous pouvez utiliser votre registre des traitements dans lequel vous trouverez la plupart des informations demandées.


2️⃣ Etape 2 : Les mesures de sécurisation existantes


Cette étape nécessite une bonne connaissance du système d'information, donc la présence du RSSI est requise pour être mené à bien.


Ici, il faudra identifier l'ensemble des mesures de sécurité déjà mise en place au sein de l'organisation. Ces mesures peuvent être de trois ordres :

  • Des mesures de sécurité portant sur les données personnelles (chiffrement, traçabilité, anonymisation...)

  • Des mesures de sécurité plus générale sur le système d'information (sauvegarde, sécurité du matériel...)

  • Des mesures de sécurité organisationnelle (formation du personnel, présence de politique, procédure en cas de violation...)

Cette étape est aussi un moment pour réfléchir globalement à votre approche de la sécurité et aux différents moyens de l'améliorer en proposant des mesures complémentaires.



3️⃣ Etape 3 : Les risques encourus


Cette étape sert à déterminer les impacts potentiels que pourrait engendrer le traitement sur la vie privée des personnes concernées.


Trois grands risques pour les données sont à prendre en compte :


👉 L'accès illégitime aux données personnelles

👉 La modification non désirée des données

👉 La disparition des données


Ainsi pour chacun de ses risques, il vous faudra déterminer les conséquences qui pourrait se répercuter sur les personnes (les conséquences peuvent être matérielles, corporelles ou morales).

Puis il faut estimer la gravité de ces conséquence en fonction du préjudice éventuel. Par la suite, lister les différentes menaces et sources de risques qui pourraient engendrer ces différentes conséquences.


Pour finir, en fonction des différents risques retenus et des mesures de sécurité existantes, il reste à déterminer la vraisemblance du risque : le pourcentage de chance que le traitement engendre un impact sur la vie privée des personnes concernées.

  • Si les risques encourus sont limités alors le traitement peut être mis en œuvre.

  • En revanche si les risques sont trop importants alors il faudra mettre en place des mesures de sécurité complémentaires pour abaisser le risque résiduel.

Cette étape peut être réalisé conjointement par l'équipe opérationnelle, le DPO et le RSSI.


4️⃣️ Etape 4 : Validation de l'AIPD


Une fois rédigé, l'AIPD doit être évalué par le DPO afin qu'il puisse rendre un avis sur l'acceptabilité des mesures de sécurité et du risque résiduel.


Puis le responsable de traitement doit prendre connaissance de l'analyse mené et valider l'AIPD si le risque résiduel permet de mettre en œuvre le traitement. Mais il à la possibilité de refuser de valider l'AIPD si le risque résiduel est trop important, dans ce cas, il faudra mettre en œuvre des nouvelles mesures de sécurité avant de réévaluer le risque résiduel.




4️⃣️ Etape 5 : Mise à jour le plan d'action de réduction des risques


Réaliser une AIPD permet de réfléchir aux risques du traitement de données mais aussi aux différentes mesures de sécurité mise à en place.

Afin d'être le plus utile possible, un plan d'action clair et détaillé doit être élaborer à partir des différentes mesures complémentaires identifiées. Pour être le plus efficace possible, le plan d'action doit aussi mentionné les personnes responsables de la mise en œuvre de chacune des mesures complémentaire et proposer un calendrier prévisionnel.




Pour réaliser votre AIPD vous pouvez utiliser l'outil PIA de la CNIL, ou xDPO peut vous former ou vous accompagner à la réalisation de votre AIPD : contactez nous !




Les internautes ont aussi consulté dans le Blog:




54 vues0 commentaire

Posts récents

Voir tout