Notre dernier article du 15 novembre 2018 traitait de la délibération n° 2018-326 de la CNIL* du 6 novembre 2018 relative aux traitements nécessitant une analyse d’impact prévue par le RGPD**.

Le présent article se propose d’analyser la deuxième délibération, n° 2018-326, publiée au Journal Officiel du même jour, posant des règles à respecter concernant l’analyse d’impact.

Périmètre

Traitements soumis à une analyse d’impact

Le RGPD fixe trois types de traitements concernés :

L’évaluation systématique et approfondie d’aspects personnels, fondée sur un traitement automatisé, sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire,
Le traitement à grande échelle de données sensibles ou relatives à des condamnations pénales et des infractions,
La surveillance systématique à grande échelle d’une zone accessible au public.

Le CEPD*** a identifié neuf critères pour caractériser un traitement susceptible d’engendrer un risque élevé :

Données traitées à grande échelle,
Données sensibles (origine raciale ou ethnique, opinions politiques, etc.) ou données à caractère hautement personnel (données relatives à des données de localisation, données financières, etc.),
Données concernant des personnes vulnérables (enfants, personnes âgées, etc.),
Croisement ou combinaison de données,
Évaluation (y compris le profilage),
Prise de décision automatisée avec un effet juridique ou similaire,
Surveillance systématique de personnes,
Traitement pouvant exclure du bénéfice d’un droit, d’un service ou d’un contrat,
Utilisation innovante ou application de nouvelles solutions technologiques ou organisationnelles.

Ceci posé, la commission considère qu’un traitement qui rencontre au moins deux des critères mentionnés ci-dessus doit faire l’objet d’une analyse d’impact.

Cependant, il est possible de ne pas suivre cette recommandation si le traitement ne comporte pas de risque élevé. Dans ce cas, il faut quand même expliquer et documenter sa décision en incluant l’avis du DPO****.

A l’inverse, si un traitement ne comporte qu’un seul critère mais présente un risque élevé, une analyse d’impact sera nécessaire.

En cas de doute, la CNIL estime qu’une analyse d’impact doit être réalisée.

Enfin, la CNIL rappelle que « le RGPD demande aux autorités de contrôle d’établir une liste de traitements pour lesquels une AIPD est requise », chose faite avec la délibération traitée notre précédent article. Cette liste sera régulièrement revue par la CNIL.

Traitements non soumis à analyse d’impact

Ce sont les traitements qui n’engendrent pas de « risque élevé pour les droits et libertés des personnes physiques ».

Le RGPD autorise les autorités nationales de protection des données à adopter une liste de traitement ne nécessitant pas une analyse d’impact ; la CNIL établira cette liste prochainement.

Ne sont pas non plus soumis à analyse d’impact les traitements répondant au respect d’une obligation légale.

Une analyse d’impact n’est pas non plus requise « lorsque la nature, la portée, le contexte et les finalités des traitements envisagés » sont très proches d’un traitement ayant déjà été concerné par une analyse d’impact réalisée par le responsable du traitement ou « par un tiers ([…] regroupement de responsables de traitement, etc.). » Dans ce cas, les résultats de l’analyse d’impact déjà menée peuvent être réutilisés.

Cas particuliers des traitements mis en œuvre avant l’entrée en vigueur du RGPD

La CNIL indique, entre autres, que les traitements mis en œuvre avant le 25 mai 2018 ayant fait l’objet d’une formalité auprès de la CNIL n’ont pas à faire l’objet d’une analyse d’impact dans un délai de trois ans à compter du 25 mai 2018, à moins que ceux-ci n’aient fait l’objet d’une modification substantielle.

Conditions de réalisation d’une analyse d’impact

L’analyse d’impact doit :

Être réalisée avant la mise en œuvre du traitement présentant un risque élevé,
Revue de manière régulière (tous les 3 ans minimum).

L’article 35.7 du RGPD énonce le contenu minimal d’une analyse d’impact :

Une description systématique des traitements envisagés et de leurs finalités,
Une évaluation de la nécessité et de la proportionnalité des traitements au regard des finalités,
Une évaluation des risques pour les droits et libertés des personnes concernées,
Les mesures envisagées pour faire face aux risques.

La CNIL estime que l’analyse d’impact doit permettre de satisfaire aux critères dégagés par le CEPD dans ses lignes directrices du 4 octobre 2017 (« critères d’acceptabilité d’une AIPD »).

La réalisation d’une analyse d’impact doit impliquer l’ensemble des acteurs du traitement, donc le DPO****, le RSSI*****, les sous-traitants, les personnes concernées, la maîtrise d’ouvrage et la maîtrise d’œuvre en fonction du contexte.

La CNIL recommande de documenter les apports de chacun des intervenants, et la raison de leur non consultation. Elle recommande également au responsable ayant réalisé une analyse d’impact de la publier.

Obligations de transmission d’une analyse d’impact à la CNIL

Une analyse d’impact faisant apparaître des risques résiduels élevés malgré les mesures envisagées par le responsable de traitement doit être transmise à la CNIL dans les conditions prévues par l’article 36 du RGPD.
Le responsable de traitement pourra, le cas échéant, s’appuyer sur les référentiels sectoriels édictés par la CNIL.

La CNIL indique que les analyses d’impact pourront, en application de l’article 58 du RGPD (pouvoirs d’enquête, d’adoption de mesures correctrices, etc.) être demandées aux responsables de traitement concernés.

CNIL* : Commission nationale de l’informatique et des libertés

RGPD** : Règlement général sur la protection des données

CEPD*** : Comité européen de protection des données

DPO**** : de l’anglais « Data Protection Officer », soit la personne en charge de la protection des données personnelles traitées par un organisme

RSSI***** : Responsable de la Sécurité des Systèmes d’Information