Les obligations mises à la charge des entreprises : l’analyse d’impact sur la protection des données
Dans son article 35, le RGPD dispose que si le traitement risque d’« engendrer un risque élevé pour les droits et libertés des personnes physiques », le responsable du traitement doit effectuer, au préalable, « une analyse de l'impact des opérations de traitement envisagées sur la protection des données à caractère personnel ». Décryptage du processus.
Quel est le but d’une analyse d’impact prévue dans le cadre du RGPD ?
Également nommé DPIA, l’analyse d’impact est à relier au principe de responsabilisation des entreprises dans le domaine du recueil, de la gestion et du stockage des données à caractère personnel. Elle sert à démontrer que même dans le cadre d’un traitement sensible, la structure est bien en conformité avec le RGPD.
L’analyse d’impact consiste dans un premier temps dans la description du traitement de données, puis dans l’évaluation juridique et technique des risques liés au traitement (impact des données sur la vie privée, de leur modification, etc.).
Quelle est la définition du risque sur la vie privée ?
Le risque sur la vie privée désigne les scénarios catastrophes : tiers qui parvient à accéder aux données sans avoir un accès autorisé, altération des données non désirée ou disparition de celles-ci et les conséquences potentielles sur les droits et libertés des personnes.
Il recoupe également les possibilités de survenance de ces évènements indésirables.
Le risque sur la vie privée est jugé en fonction de deux critères : la gravité pour les personnes (pas pour la structure) qui participent au traitement et la vraisemblance.
Selon le RGPD, dans quels cas l’analyse d’impact est obligatoire ?
L’analyse d’impact est obligatoire quand le traitement est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées ». Entrent dans cette catégorie :
- L’évaluation des personnes concernées
- La surveillance systématique des personnes (caméras de surveillance…)
- La collecte de données à caractère personnel menée à grande échelle
- Lorsque les personnes visées par le traitement sont vulnérables (enfants, malades…)
- L’utilisation de nouvelles technologies pour réaliser le traitement
- Le traitement qui permet l’attribution ou suppression d’un droit ou d’un contrat
- Lorsque les données collectées sont à caractère sensible (portant sur les orientations religieuses, politiques ou sexuelles par exemple)
- Lorsque les données sont croisées
Dans quels cas l’analyse d’impact n’est-elle pas obligatoire ?
Par définition, elle n’est pas obligatoire lorsque le traitement ne comporte pas de risque jugé élevé pour les droits et libertés des personnes. Elle n’est pas non plus nécessaire lorsqu’un traitement aux moyens et finalités similaires a déjà fait l’objet d’un autre DPIA.
Enfin, l’article 6 prévoit que l’analyse d’impact n’est pas requise lorsque le traitement est réalisé pour une mission de service public, à condition que trois conditions cumulatives soient remplies :
- Le traitement doit avoir une base juridique dans le droit de l’UE ou le droit de l’État membre
- Le droit de l’UE règlemente le traitement
- Un DPIA doit déjà avoir été mené lors de l’adoption de cette base juridique.
Quand faut-il réaliser l’analyse d’impact ?
L’analyse d’impact doit être conduite avant le démarrage du traitement, et sera ensuite mise à jour à chaque étape de l’avancement de celui-ci.
Qui doit mener l’analyse d’impact ?
C’est le responsable du traitement qui est au cœur de l’analyse d’impact, car c’est lui qui chargé de sa conformité au RGPD. Si un DPO (Data Protection Officer) ou DPD (Délégué à la Protection des Données) existe au sein de l’entreprise, il devra être chargé de l’exécution de l’analyse.
Faut-il transmettre l’analyse d’impact à la CNIL ?
Oui, l’organisme de régulation et de vérification doit être consultée et doit recevoir un exemplaire de l’analyse d’impact lorsque le risque sur la vie privée demeure important. Le DPIA doit également être transmis à la CNIL si celle-ci en fait la demande, où si la législation d’un État membre de l’UE l’exige.
Quels sont les sanctions encourues en cas de non-respect des obligations liées aux analyses d’impact ?
L’entreprise ou l’organisme public qui ne se conforme pas aux dispositions du RGPD sur l’analyse d’impact encoure une amende allant jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires annuel pour une entreprise, étant entendu que c’est le montant le plus élevé qui sera retenu.