CONTACT

Le G29 publie ses lignes directrices sur les Etudes d’Impact sur la Vie Privée

21 juillet 2017 | Derriennic Associés|

 

Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679, wp248 

Le G29 poursuit ses travaux visant à faciliter la mise en œuvre du Règlement General Protection des Données (RGPD) en publiant, le 4 avril dernier, ses lignes directrices sur les études d’impact sur la vie privée.

Avec le RGPD, l’un des objectifs du législateur européen est de remplacer l’obligation générale de notification préalable des traitements mis en œuvre à des autorités de contrôle, par des mécanismes internes aux organismes traitant des données personnelles, ciblant les traitements susceptibles de présenter des risques particuliers pour les droits et libertés des personnes concernées.

Dans ce but, l’article 35 du RGPD prévoit que lorsqu’un traitement est susceptible d’exposer les personnes à un risque élevé au regard de leurs droits et libertés, le responsable de traitement doit effectuer préalablement une analyse d’impact sur la vie privée (EIVP – DPIA). L’objectif de cette analyse est d’évaluer la probabilité et la gravité du risque afin de déterminer, à partir du résultat de l’évaluation, les mesures appropriées à prendre afin de démontrer que le traitement des données à caractère personnel est conforme à la réglementation européenne.

A ce jour, les organismes désireux de se mettre en conformité avec l’article 35 RGPD se trouvaient confrontés à deux principales difficultés :

  • la détermination des traitements dont le risque justifiera la mise en œuvre préalable d’une analyse d’impact – autrement dit – que signifie précisément la notion de « risque élevé » ?
  • quelle méthodologie doit être suivie pour réaliser une étude d’impact qui satisfasse les autorités de protection des données, en cas de contrôle ou de réclamation ?

C’est pourquoi les lignes directrices du G29 étaient attendues.

1) Les traitements susceptibles d’entrainer un risque élevé

Les lignes directrices énoncent un certain nombre de critères qui devraient être pris en considération par les responsables de traitement lors de l’évaluation du niveau de risque (par exemple : données sensibles, données de personnes vulnérables, transfert de données hors UE, traitements à grande échelle, scoring, etc…). Plus ces critères sont satisfaits, plus il est probable que le traitement envisagé soit susceptible de générer un « risque élevé ».

Le G29 donne quelques exemples de traitements nécessitant une étude d’impact :

  • La collecte de données sur les profils publics des personnes sur les réseaux sociaux,
  • L’utilisation d’un système de caméra pour surveiller le comportement de conduite sur les autoroutes, lorsque ce système permet d’isoler un conducteur par analyse de sa plaque d’immatriculation,
  • La surveillance par un employeur des activités de ses employés sur leurs postes de travail informatique, de leur activité sur internet.

En cas de doute sur le niveau de risque, le G29 préconise de réaliser l’étude d’impact.

2) La méthodologie de l’analyse d’impact

Les lignes directrices du G29 décrivent le processus type de mise en œuvre d’une analyse d’impact :

Décrire le traitement > Evaluer sa nécessité et sa proportionnalité > Evaluer sa conformité > Evaluer les risques, du point de vue des personnes dont les données sont traitées > Déterminer les mesures à prendre pour limiter le risque > Documenter ce processus > Suivre en permanence et réexaminer ponctuellement la conformité du traitement.

Les lignes directrices ne prescrivent pas de formes spécifiques d’études d’impact mais relèvent l’existence de deux normes ISO : management du risque (ISO 31000) et Lignes directrices pour l’évaluation d’impacts sur la vie privée – sécurité informatique (ISO/IEC 29134).

Le G29 indique que la publication de l’étude d’impact devrait être envisagée, en particulier lorsque le public pourrait être touché par le traitement.

Les lignes directrices indiquent que l’étude d’impact n’est nécessaire que pour les traitements mis en œuvre après l’entrée en application du RGPD. Toutefois, une revue des traitements existants doit être menée lorsque le risque associé évolue.

Enfin, les lignes directrices encouragent la production de DPIA sectoriels par les fabricants – sous-traitants au sens du RGPD – afin que les responsables de traitement clients de leurs produits puissent s’en inspirer et se concentrer sur les questions spécifiques à l’utilisation faite dudit produit.

Pour en savoir plus, nous vous recommandons la lecture des lignes directrices qui listent en annexe plusieurs méthodologies de DPIA ainsi qu’une check-list de critères auxquels un DPIA doit répondre.