CONTACT

La CNIL précise les contours de l’analyse d’impact

06 avril 2018 | Derriennic Associés|

Dans une publication sur son site internet du 19 février 2018, la CNIL a précisé les cas dans lesquels la conduite d’une analyse d’impact serait nécessaire, ainsi que la méthode pratique de réalisation d’une telle analyse.

L’article 35 du RGPD prévoit la conduite d’une analyse d’impact sur la protection des données pour les traitements de données à caractère personnel susceptibles d’engendrer « un risque élevé pour les droits et libertés des personnes concernées ».

Un risque élevé est un scénario décrivant :

  • un évènement redouté (accès non autorisé, modification non désirée, disparition des données, et ses impacts potentiels sur les droits et libertés des personnes) ;
  • toutes les menaces qui permettraient qu’il survienne.

Ainsi, il convient d’apprécier la gravité du risque pour les personnes concernées (et non pour l’organisme), et sa vraisemblance, c’est-à-dire la probabilité de réalisation du risque.

La CNIL indique que l’analyse d’impact sert deux objectifs :

  • aider les organismes à construire des traitements de données respectueux de la vie privée ;
  • démontrer la conformité desdits organismes au RGPD.

La CNIL précise qu’il ne sera pas nécessaire de faire plusieurs analyses d’impact lorsque plusieurs traitements similaires sont mis en œuvre, y compris lorsqu’il y a plusieurs responsables du traitement. La CNIL prend en exemple des collectivités mettant en place un système de vidéosurveillance similaire, qui pourraient alors n’avoir à effectuer qu’une seule analyse.

Fait intéressant, la CNIL précise que le fournisseur d’un produit matériel ou d’un logiciel peut également mener une analyse d’impact, afin que les responsables du traitement utilisant ce produit alimentent leur propre analyse avec celle du fournisseur.

Concernant les conditions dans lesquelles une analyse d’impact s’avèrera nécessaire, la CNIL indique que, « généralement », les traitements remplissant au moins deux des critères suivants devront faire l’objet d’une analyse d’impact :

  • évaluation/scoring;
  • décision automatique avec effet légal ou similaire ;
  • surveillance systématique ;
  • collecte de données sensibles ;
  • collecte de données à caractère personnel à large échelle ;
  • croisement de données ;
  • personnes vulnérables (patients, personnes âgées, enfants, etc.) ;
  • usage innovant (utilisation d’une nouvelle technologie) ;
  • exclusion du bénéfice d’un droit ou d’un contrat.

Interviendront dans la réalisation d’une analyse d’impact : le responsable du traitement, le délégué à la protection des données, le sous-traitant le cas échéant, mais il est également suggéré par la CNIL de demander l’avis des personnes concernées, par le biais d’une enquête, d’un sondage ou d’une question formelle aux représentants du personnels. Pourront également participer : les métiers (maitrise d’ouvrage), les équipes chargées de la mise en œuvre (maitrise d’œuvre) et le RSSI.

L’analyse d’impact devra contenir à minima :

  • une description systématique des opérations de traitement envisagée et les finalités du traitement ;
  • une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités ;
  • une évaluation des risques sur les droits et libertés des personnes concernées ;
  • les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du RGPD.