Articles & Actualités

Juridique

RGPD : les analyses d'impact relatives à la protection des données*

27/08/2018

Valérie Pozzo di Borgo

Les analyses d'impact relatives à la protection des données (AIPD) constituent l'une des innovations majeures du RGPD. Leur mise en œuvre suscite des questions concernant l'interprétation des critères qui les rendent nécessaires, les marges de manœuvres laissées aux responsables de traitement et les positions adoptées par les autorités de protection des données européennes.

L'analyse d'impact relative à la protection des données (AlPD) s'inscrit dans le cadre de l'approche par les risques préconisée par le RGPD #1, en permettant au responsable de traitement de s'assurer de la conformité d'un traitement de données avec les exigences de ce dernier et de pouvoir en rapporter la preuve.

A compter de l'entrée en application du RGPD le 25 mai 2018, le responsable d'un traitement de données personnelles susceptible d'engendrer un risque élevé pour les personnes concernées devra en effet en analyser ses potentiels impacts sur les droits et libertés des personnes avant de le déployer #2.

Cette analyse visant à limiter les risques impliqués par un traitement devra par ailleurs être renouvelée en cas de modification du risque initial qui pourrait être consécutive, par exemple, à la collecte d'une nouvelle catégorie de données sensibles, ou à une évolution sociétale ou technologique ayant des incidences sur les mesures de sécurité nécessaires. Au sens du RGPD, la gestion des risques suppose d'identifier ces derniers, de les analyser, de les évaluer, de les traiter et de les réexaminer régulièrement.

1. Champ d'application

L'article 35-3° du RGPD mentionne spécifiquement trois hypothèses dans lesquelles une AIPD devra être réalisée avant la création d'un traitement :
- l'évaluation systématique et approfondie d'aspects personnels fondant des décisions à l'égard d'une personne ou l'affectant significativement (technique de profilage) ;
- le traitement de données dites « sensibles » #3 à grande échelle ;
- la surveillance systématique et à grande échelle d'une zone accessible au public (vidéoprotection).

Cette énumération n'est toutefois pas exhaustive puisque les autorités européennes de protection des données telles que la Commission nationale de l'informatique et des libertés en France (CNIL) pourront aussi établir et publier des listes de traitement pour lesquels une AIPD sera requise. Ces listes ne sont pas encore établies, mais il faudra en tenir compte pour déterminer le champ d'application des AlPD.

On peut également relever que les autorités de protection des données sont par ailleurs habilitées à adopter d'autres listes pour exclure du champ d'application des AIPD, certaines catégories de traitements.

Les traitements susceptibles d'engendrer un risqué élevé

En complément des catégories visées par le Règlement ou les autorités de protection des données, il existe une autre catégorie de traitements pour lesquels une AIPD devra être effectuée. Le RGPD prévoit en effet que les traitements susceptibles d'engendrer un risque élevé pour les droits et les libertés des personnes physiques ne pourront être mis en œuvre qu'après une analyse de leur impact sur la protection des données #4.

Pour déterminer si un traitement est susceptible ou non d'engendrer un risque élevé pour les personnes, et donc pour identifier s'il est ou non sujet à la réalisation d'une AlPD, le RGPD invite à s'intéresser au caractère novateur de la technologie utilisée, à la nature du traitement en question, à sa portée, à son contexte ou encore à ses finalités. Selon la logique du texte, plus la technologie est novatrice et plus le contexte du traitement sensible, plus la nécessité de réaliser une AIPD devient grande. L'utilisation des termes « en particulier » par le règlement rend toutefois cette énumération indicative, ce qui a entraîné un besoin de clarification rapidement exprimé par les acteurs du marché.

Pour répondre aux attentes des responsables de traitement, les CNIL européennes réunies à Bruxelles sous l'égide du groupe de travail dit « de l'article 29 » (G29 ou Article 29 working party) ont adopté des lignes directrices #5, après une phase de consultation ayant permis de préciser la première version du texte, qui présentent neufs critères permettant d'identifier des cas dans lesquels un risque doit être considéré comme élevé :
- évaluation ou notation de personnes, y compris les activités de profilage ou de prédiction, portant notamment sur des aspects personnels #6 ;
- prise de décision automatisée avec effet juridique ou effet significatif similaire ;
- surveillance systématique de personnes, y compris via la collecte de données sur des réseaux ou à partir d'un système vidéo ;
- traitement de données dites « sensibles » #7 ou à caractère hautement personnel #8 ;
- traitement à grande échelle à apprécier en fonction du nombre de personnes concernées en valeur absolue ou en proportion de la population considérée ; du volume de données et/ou de l'éventail des différents éléments de données traitées ; de la durée ou de la permanence du traitement ; de l'étendue géographique du traitement ;
- croisement ou combinaison de données #9 ;
- données concernant des personnes vulnérables #10 ;
- nouvelle solution technologique ou utilisation innovante d'une solution existante ;
- traitement susceptible d'exclure des personnes du bénéfice d'un droit, d'un service ou d'un contrat.

Les autorités de protection européenne estiment, sauf exception, qu'une AlPD doit être effectuée dès lors que les caractéristiques d'un traitement répondent à deux de ces critères.

Un organisme peut toutefois estimer nécessaire d'accomplir une AlPD en deçà de ce seuil de deux critères. Il est en effet possible, et parfois même fortement recommandé, de réaliser volontairement une AIPD dans d'autres hypothèses, ce qui permet de répondre pleinement à l'approche par les risques mise en avant par le RGPD. On peut noter à cet égard que les autorités de protection des données recommandent dans leur avis d'effectuer une AIPD en cas de doute.

Ecarter la réalisation d'une étude d'impact

A l'inverse, un organisme pourrait estimer ne pas avoir besoin de réaliser une AlPD pour des raisons particulières, pensant par exemple ne pas être en présence d'un traitement engendrant un risque élevé pour les personnes, et ce, alors même que le traitement répondrait à plus de deux des critères adoptés par le G29. Dans ce cas, le responsable du traitement devra solliciter l'avis de son éventuel Délégué à la protection des données (DPD) et documenter son analyse pour être en mesure, le cas échéant, de justifier sa décision auprès des autorités de contrôle. Si le RGPD prévoit que le DPD doit être sollicité dans le cadre de la procédure d'AIPD pour délivrer des conseils et en vérifier l'exécution #11, son intervention est particulièrement indispensable lorsque le responsable d'un traitement estime qu'une AIPD n'est pas nécessaire.

Au-delà du cas dans lequel une disposition législative d'un Etat membre viendrait expressément écarter la réalisation d'une AIPD, cette dernière pourra aussi ne pas être nécessaire en raison de l'existence d'une décision rendue par une autorité de protection des données. En effet, le RGPD prévoit que les « autorisations qui ont été accordées par les autorités de contrôle sur le fondement de la directive 95/46/CE demeurent en vigueur jusqu'à ce qu'elles soient modifiées, remplacées ou abrogées » #12. Par conséquent, dès lors qu'un traitement autorisé par une autorité de protection des données avant le 25 mai 2018 n'est pas sujet à une modification substantielle #13, il n'est pas obligatoire d'effectuer une AIPD, même pour les traitements spécifiquement visés par le RGPD ou répondant à plus de deux des critères fixés par le G29.

À cet égard, la CNIL a récemment précisé qu'elle n'exigera pas immédiatement la réalisation d'une AIPD pour les traitements ayant fait l'objet d'une formalité auprès de ses services avant le 25 mai 2018 (déclaration, autorisation, avis), d'une part, ainsi que pour les traitements inscrits au registre d'un Correspondant informatique et libertés (ClL), d'autre part. Cette mesure de faveur prise à l'initiative du régulateur français dans un but de simplification et d'accompagnement sera toutefois limitée dans le temps, puisqu'une AlVP devra être effectuée pour ces traitements dans un délai de trois ans à compter du 25 mai 2018. Les autres catégories de traitements #14 ne bénéficieront en revanche pas de ce délai spécifique. Pour ces derniers, une AIVP devra en effet être validée pour la date d'entrée en application du RGPD.

2. Contenu et méthode

Il est toujours possible d'aller au-delà des exigences prévues par le RGPD et de dépasser les attentes des autorités de protection des données. Le RGPD fixe néanmoins un socle minimal pour une AIPD #15 qui doit impérativement comprendre :
- une description des opérations de traitement ;
- la finalité du traitement et, le cas échéant, l'intérêt légitime précisément poursuivi lorsqu'il s'agit de la base juridique du traitement ;
- une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard de la finalité poursuivie ;
- une évaluation des risques en termes de gravité et de probabilité ;
- les mesures organisationnelles et techniques envisagées pour limiter les risques et rendre acceptable les risques résiduels.

Si une AIPD peut être effectuée par une personne désignée au sein de la structure, voire même externalisée auprès d'un tiers, cette obligation pèse juridiquement sur le responsable du traitement qui est tenu de consulter, lorsqu'il existe, son DPD. Ce dernier doit quant à lui conseiller le responsable de traitement, vérifier le respect de l'AIPD lors de la mise en production du traitement et veiller à faire renouveler l'analyse en cas de modification du risque.

Les éventuels sous-traitants qui participent aux opérations de traitement doivent, pour leur part, aider les responsables de traitement à réaliser leur AIPD en fournissant toute information utile, au regard de leur degré d'implication dans le traitement. Il s'agit d'une obligation prévue par le RGPD à laquelle il est impossible de se soustraire à défaut de voir sa responsabilité engagée #16.

Solliciter l'avis des personnes concernées

Le RGPD prévoit par ailleurs que le responsable de traitement ou la personne chargée de réaliser l'AIPD doit solliciter l'avis des personnes concernées ou de leurs représentants sur le traitement envisagé. Sur ce point, le G29 précise dans son avis que le fait de demander le consentement des personnes concernées ne revient pas à les consulter. Surtout, la position des CNIL européennes peut rendre cette consultation très fréquente, sinon systématique, puisqu'il est attendu des responsables de traitement qu'ils justifient une éventuelle décision de ne pas satisfaire à cette étape, d'une part, et documentent les raisons de leur choix lorsqu'ils décideront d'aller à l'encontre de l'avis des personnes interrogées, d'autre part. Les arguments retenus par les responsables de traitement pour écarter cette consultation devront dès lors être solides et, en tout état de cause, de nature à convaincre certaines autorités de contrôle qui pourraient avoir une vision extensive de cette démarche permettant de s'assurer de la protection des droits et libertés des personnes.

En complément du recueil de l'avis des personnes concernées, il est également recommandé à titre de bonne pratique par les autorités de protection de solliciter l'avis d'experts indépendants #17, ainsi que du responsable de la sécurité des systèmes d'information (RSSI) et/ou du service informatique interne lorsqu'il en existe.

Diverses méthodologies envisageables

S'agissant des méthodes possibles pour effectuer une AIPD, le RGPD et les autorités de protection sont moins directifs en laissant la possibilité aux responsables de traitement d'apprécier puis de choisir la méthode la plus adaptée au contexte, à condition d'utiliser des critères d'acceptabilité communs #18 et de garder pour objectif de gérer les risques en établissant le contexte du traitement, en appréciant les risques et en traitant ces derniers.

Diverses méthodologies sont ainsi envisageables et chaque autorité de protection met en avant une ou plusieurs méthodes génériques ou sectorielles #19. Au travers de ses trois guides pratiques « AIPD », récemment mis à jour #20, la CNIL propose, quant à elle, d'utiliser la méthode dite « EBIOS » #21 ou de recourir à des méthodes plus souples pour les traitements dont les caractéristiques s'y prêteraient mieux.

Pour accompagner plus concrètement les responsables de traitement et les sous-traitants dans leurs démarches de mise en conformité avec les exigences du RGPD, la CNIL a récemment diffusé via son site internet #22 une nouvelle version plus aboutie de son outil dédié aux AIPD, disponible en français, en anglais, en allemand et en espagnol, pour ne pas se limiter à mettre à disposition des guides et une méthode générique #23.

Cet outil conçu sous licence libre, ce qui rend possible l'ajout de modules ou de l'adapter à des environnements et organisations variés, permet de s'approprier les guides de la CNIL, de consulter un exemple d'AIPD, d'accéder à une base de connaissance et de dérouler la méthode proposée par le régulateur français. Surtout, il permet d'accompagner plus efficacement les organismes en les aidant à conduire et à formaliser leurs AlPD au travers de quatre étapes :
- description et contextualisation du traitement ;
- analyse juridique du traitement ;
- évaluation des risques et des mesures prévues ;
- visualisation des résultats et en particulier des risques résiduels.

3. La gestion du risque résiduel

En principe, une AIPD doit permettre de rendre acceptable les risques résiduels, c'est-à-dire les risques qui ne peuvent être écartés malgré la mise en place des mesures organisationnelles et techniques adaptées.

Dans la très grande majorité des cas, les risques résiduels identifiés à l'issue d'une AIPD pourront être gérés et assumés directement par les responsables de traitement, permettant en cela une mise en production rapide. Néanmoins, dans certains cas, une AlPD pourra révéler des risques résiduels élevés pour les droits et libertés des personnes concernées, difficiles à assumer en l'état.

D'après la position du G29 exprimée dans son avis, un risque résiduel doit notamment être considéré comme élevé et inacceptable lorsqu'il est clair que les personnes pourraient être confrontées à des conséquences importantes difficilement surmontables #24 et/ou lorsque la réalisation du risque serait trop probable #25. Dans cette hypothèse, le RGPD #26 prévoit que le responsable du traitement doit se tourner vers l'autorité de contrôle compétente pour la consulter sur son traitement. A cette occasion, il devra communiquer à cette dernière :
- les responsabilités respectives du responsable de traitement, des responsables conjoints et des sous-traitants ;
- les finalités et les moyens du traitement ;
- les mesures et les garanties prévues pour protéger les droits et libertés des personnes ;
- le cas échéant, les coordonnées du DPD ;
- l'AIPD intégrale ;
- toute information sollicitée par l'autorité de contrôle.

Saisie d'une telle demande, l'autorité de protection des données compétentes dispose d'un délai maximum de huit semaines pour communiquer un avis écrit au responsable de traitement et, le cas échéant, aux sous-traitants. Ce délai est suspendu jusqu'à l'obtention des éventuelles informations demandées et il peut être prorogé de six semaines dans un délai d'un mois à compter de la réception de la demande de consultation.

Dans son avis, l'autorité de protection des données devra notamment veiller à protéger le secret des affaires, ainsi que les droits des personnes concernées et à ne pas divulguer de vulnérabilités de sécurité. Elle pourra en revanche faire usage de tous les pouvoirs que le RGPD lui confère, qui permettent notamment un contrôle sur place et peuvent aller jusqu'à une interdiction définitive du traitement #27.

Le G29 estime enfin que la communication d'un avis écrit au responsable du traitement n'est nécessaire que si l'autorité de contrôle juge, sur la base du dossier transmis, que le traitement envisagé ne respecte pas les dispositions du RGPD. En d'autres termes, les autorités de protection des données pourraient, en particulier si elles devaient répondre à un grand nombre de demandes, ne pas répondre à tous les responsables de traitement estimant être en présence de risques résiduels élevés.

Conclusion

Au même titre que la notification des failles de sécurité, les AIPD constituent l'une des innovations majeures du RGPD. Ces analyses seront certainement délicates à intégrer au niveau opérationnel en raison, notamment, des marges de manœuvres laissées aux responsables de traitement et des critères qu'il va falloir interpréter et apprendre à manier tout en prenant en compte, le cas échéant, les décisions et les positions adoptées par les autorités de protection des données européennes et le Comité européen de la protection des données (CEPD).

* Cet article a été publié à la Revue Banque, n°820, mai 2018

[1] Règlement général européen sur la protection des données personnelles, en anglais General Data Protection Regulation (GDPR)

[2] Article 35 du RGPD

[3] Origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, données génétiques, données biométriques, données relatives à la santé, données concernant la vie sexuelle ou l'orientation sexuelle, condamnations pénales et infractions.

[4] Article 35-1 du RGPD

[5] WP 248 rév. 01 adopté le 4 avril 2017

[6] Rendement au travail, situation économique, santé. préférences ou centres d"intérêt, fiabilité, comportement, déplacements

[7] Idem note n°2

[8] Communications électroniques, localisations, données financières…

[9] Par exemple, des données issues de deux traitements ayant des finalités différentes et/ou par plusieurs responsables de traitement d'une manière excédant les attentes raisonnables des personnes concernées.

[10] Enfants, employés, personnes âgées, demandeurs d'asile, patients, incapables juridiques...

[11] Article 39-1, c) du RGPD

[12] Considérant 171 du RGPD

[13] Identité du responsable de traitement, portée, finalité, catégories de données, destinataires, durées de conservation, mesures techniques ou organisationnelles…

[14] Absence de formalité auprès de la CNIL avant le 25 mai, modification substantielle d'un traitement ayant fait l'objet d'une formalité à cette date, traitement mis en œuvre après le 25 mai 2018.

[15] Article 35, alinéa 7, du RGPD

[16] Article 28-3, f) du RGPD

[17] Expert informatique, avocat,sociologue, déontologue…

[18] Quatre critères d'acceptabilité sont proposés par le G29 (description systématique du traitement, évaluation de la nécessité et de la proportionnalité, gestion des risques pressentis, implication des parties prenantes) et subdivisés en sous-critères (cf. annexe 2 de l'avis WP 248 rev.01 du G29).

[19] Annexe 1 de l'avis du G29 WP 248 rev. 01 du G29.

[20] https://www.cnil.fr/fr/PIA-privacy-impact-assessment

[21] Expression des besoins et identification des objectifs de sécurité

[22] https://www.cnil.fr/fr/outil-pia-telechargez­et-installez-le-logiciel-de-la-cniI

[23] La CNIL diffuse également sur son site internet une version de la méthode PIA appliquée au domaine des objets connectés (Privacy Impact Assessment Framework), ainsi qu'une étude de cas sur un moniteur de sommeil.

[24] Accès illégitime aux données pouvant entrainer une menace pour la santé, une mise à pied, mettre en péril la situation financière de la personne...

[25] Réduction des personnes accédant aux données impossible en raison du mode de partage choisi, existence d'une vulnérabilité de sécurité connue et non corrigée...

[26] Article 6 du RGPD

[27] Article 58 du RGPD : enquête, accès aux données, contrôle, avertissement, conseil, rappel à l'ordre, injonction, limitation ou interdiction du traitement, effacement des données, amende...