L'analyse d'impact relative à la protection des données (AIPD) permet d'identifier les risques liés à certains traitements des données personnelles et de mettre en place des mesures pour les atténuer.
A l'issue de cet article vous saurez:
L'AIPD est obligatoire pour les traitements de données personnelles qui présentent un risque élevé pour les droits et libertés des personnes concernées (art 35 du RGPD). Elle doit être effectuée AVANT la mise en œuvre du traitement
L'AIPD doit être réalisée par le responsable de traitement, avec les conseils et le soutien de son Délégué à la Protection des Données - DPO s'il a été désigné. Si votre organisation est sous-traitant de données personnelles pour le traitement concerné, vous devez fournir votre aide et les informations nécessaires à la réalisation de l'AIPD.
Nous vous proposons dans cet article de lister les points essentiels qui vous permettront de réaliser une analyse d'impact relative à la protection des données (AIPD).
Quels sont les critères de réalisation d'une AIPD?
👉Une astuce pour déterminer si une AIPD doit être réalisée : si vous mettez en place des traitements qui concernent :
des données sensibles (santé, politique, religieux, racial, ...) ,
des personnes "vulnérables" (mineurs, personnes âgées, handicaps, ...)
à grande échelle
Une AIPD est obligatoire dès lors qu'un traitement de données personnelles est susceptible d'engendrer un risque élevé pour les droits et les libertés des personnes concernées.
👉Dans la pratique, le responsable de traitement doit
1. Vérifier si le traitement fait partie des traitements pour lesquels une AIPD n'est pas obligatoire (voir le fichier ci-dessous)
puis le cas échéant,
2. Vérifier si le traitement fait partie des traitements pour lesquels une AIPD est obligatoire (voir le fichier ci-dessous)
puis le cas échéant,
3. Vérifier si le traitement cumule au moins deux des neufs critères ci-dessous, auquel cas une AIPD est nécessaire:
Evaluation ou le scoring (y compris le profilage) | Particulièrement quand cela concerne le rendement au travail de la personne concernée, sa situation économique, sa santé, sa fiabilité, son comportement ou sa localisation. |
Décision automatique avec effet légal ou similaire | Cela concerne notamment le risque d'exclusion ou de discrimination. Lorsque les effets sont minimes alors le traitement n'est pas considéré comme remplissant ce critère. |
Surveillance systématique | L'observation, la surveillance ou le contrôle de la personne concernée, y compris sur les réseaux sociaux |
Collecte de données sensibles ou des données à caractère hautement personnel | Sont concernées les données d'origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, données génétiques ou de santé, données biométriques et données concernant la vie ou l’orientation sexuelle. Ainsi que les données relatives à des condamnations pénales, infractions ou mesures de sûreté et le numéro de sécurité sociale |
Collecte de données à large échelle | Pour évaluer la grande échelle, il prendre en compte le nombre de personne concernée (proportionnellement), le volume de données traitées, le durée et l'étendue géographique du traitement. |
Croisement de données | Des données de deux opérations de traitement différents par le même ou différents responsables de traitement |
Collecte des données personnelles de personnes vulnérables | Sont concernées les données des mineurs, des personnes âgées, des patients, des réfugiés... |
Usage innovant (utilisation de nouvelles technologies) | Sont concernés les dispositifs biométriques ou encore l'internet des objets |
Exclusion du bénéfice d'un droit ou d'un contrat | Sont concernés les traitements qui vise à autoriser, modifier ou refuser l'accès à un service ou un contrat |
Qui doit réaliser l'AIPD?
L'AIPD doit être réalisée par le responsable de traitement éventuellement avec les conseils du DPO s'il a été désigné (qu'il soit interne ou externe).
En effet l'AIPD doit être rédigée par une partie (les responsables de traitements) et validée infine par une autre partie (le DPO).
Mais pour réaliser une AIPD complète, toutes les parties prenantes doivent être impliquées dans le processus :
les agents opérationnels qui ont la meilleure connaissance des flux de données
les sous-traitants, qui sont soumis à l'obligation d'aider le responsable de traitement dans la réalisation des AIPD
le service informatique pour déterminer les mesures de sécurité techniques mise en œuvre
dans certains cas, les personnes concernées pour favoriser la transparence (leur participation peut passer par des enquêtes publiques par exemple).
Quand faut-il mener une AIPD?
L'AIPD doit être menée AVANT la mise en œuvre du traitement, le plus en amont possible.
Sauf modification substantielle, la durée de validité d'une AIPD est de 3 ans : à l'issue de cette période elle devra être menée à nouveau.
Les cinq étapes d'une AIPD
1️⃣ Etape 1 : Décrire le traitement concerné
Dans un premier temps, une description précise du traitement et du flux de données sont demandés. Cette partie peut être remplie par l'équipe opérationnelle.
Il vous faudra identifier les différentes parties prenantes : le responsable de traitement ainsi que les éventuels sous-traitants.
Puis, il est sera nécessaire de décrire le traitement dans son ensemble : sa nature, sa portée, ses finalités, les catégories de données personnelles concernées, les destinataires et les durées de conservation et finalement les supports des données.
Dans un deuxième temps, une évaluation des mesures garantissant la proportionnalité et la nécessité du traitement est à réalisé. Une bonne connaissance des grands principes du RGPD est requise pour remplir correctement cette partie de l'AIPD. Le DPO sera vous guider dans la rédaction.
Il va falloir définir avec précision les finalités du traitement mais aussi son fondement juridique, les mesures mises en place pour minimiser la collecte, garantir la qualité des données et respecter des durées de conservation limité.
Finalement, le responsable de traitement devra expliquer les moyens qu'il met en œuvre pour respecter les droits des personnes concernées et le recueil du consentement quand il est nécessaire.
Pour vous aider à rédiger cette première étape, vous pouvez utiliser votre registre des traitements dans lequel vous trouverez la plupart des informations demandées.
2️⃣ Etape 2 : Evaluation des mesures de sécurisation existantes
Cette étape nécessite une bonne connaissance du système d'information, donc la présence du RSSI est requise pour être mené à bien.
Ici, il faudra identifier l'ensemble des mesures de sécurité déjà mise en place au sein de l'organisation. Ces mesures peuvent être de trois ordres :
Des mesures de sécurité portant sur les données personnelles (chiffrement, traçabilité, anonymisation...)
Des mesures de sécurité plus générale sur le système d'information (sauvegarde, sécurité du matériel...)
Des mesures de sécurité organisationnelle (formation du personnel, présence de politique, procédure en cas de violation...)
Cette étape est aussi un moment pour réfléchir globalement à votre approche de la sécurité et aux différents moyens de l'améliorer en proposant des mesures complémentaires.
3️⃣ Etape 3 : Evaluation des risques encourus
Cette étape sert à déterminer les impacts potentiels que pourrait engendrer le traitement sur la vie privée des personnes concernées.
Trois grands risques pour les données sont à prendre en compte :
👉 L'accès illégitime aux données personnelles
👉 La modification non désirée des données
👉 La disparition des données
Ainsi pour chacun de ses risques, il vous faudra déterminer les conséquences qui pourrait se répercuter sur les personnes (les conséquences peuvent être matérielles, corporelles ou morales).
Puis il faut estimer la gravité de ces conséquence en fonction du préjudice éventuel. Par la suite, lister les différentes menaces et sources de risques qui pourraient engendrer ces différentes conséquences.
Pour finir, en fonction des différents risques retenus et des mesures de sécurité existantes, il reste à déterminer la vraisemblance du risque : le pourcentage de chance que le traitement engendre un impact sur la vie privée des personnes concernées.
Si les risques encourus sont limités alors le traitement peut être mis en œuvre.
En revanche si les risques sont trop importants alors il faudra mettre en place des mesures de sécurité complémentaires pour abaisser le risque résiduel.
Cette étape peut être réalisé conjointement par l'équipe opérationnelle, le DPO et le RSSI.
4️⃣️ Etape 4 : Validation de l'AIPD
Une fois rédigé, l'AIPD doit être évalué par le DPO afin qu'il puisse rendre un avis sur l'acceptabilité des mesures de sécurité et du risque résiduel.
Puis le responsable de traitement doit prendre connaissance de l'analyse mené et valider l'AIPD si le risque résiduel permet de mettre en œuvre le traitement. Mais il à la possibilité de refuser de valider l'AIPD si le risque résiduel est trop important, dans ce cas, il faudra mettre en œuvre des nouvelles mesures de sécurité avant de réévaluer le risque résiduel.
4️⃣️ Etape 5 : Mise à jour le plan d'action de réduction des risques
Réaliser une AIPD permet de réfléchir aux risques du traitement de données mais aussi aux différentes mesures de sécurité mise à en place.
Afin d'être le plus utile possible, un plan d'action clair et détaillé doit être élaborer à partir des différentes mesures complémentaires identifiées. Pour être le plus efficace possible, le plan d'action doit aussi mentionné les personnes responsables de la mise en œuvre de chacune des mesures complémentaire et proposer un calendrier prévisionnel.
Pour réaliser votre AIPD vous pouvez utiliser l'outil PIA de la CNIL, ou xDPO peut vous former ou vous accompagner à la réalisation de votre AIPD : contactez nous !
Les internautes ont aussi consulté :