Par Anaïs Olivier, Avocate.
  • 4647 lectures
  • 1re Parution: 19 mars 2018

  • 5  /5

Données personnelles : quand faut-il réaliser une analyse d’impact ?

L’article 35 du Règlement européen sur la protection des données personnelles (« RGDP »), qui entrera en vigueur le 25 mai 2018, prévoit que lorsqu’un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable de traitement effectue, avant de procéder au traitement, une analyse de l’impact du traitement envisagé sur la protection des données à caractère personnel.

Pour rappel, le responsable de traitement est la personne physique ou morale qui détermine la finalité et les moyens d’un traitement.

L’analyse d’impact consiste en la réalisation d’une étude interne faisant apparaître les caractéristiques des traitements effectués, les risques engendrés par ces traitements et les mesures adoptées pour y faire face.
Cette analyse doit avoir lieu en amont, avant la mise en place d’un traitement et faire l’objet d’un suivi et d’une mise à jour continue.

Les analyses d’impact permettent de garantir le respect de la vie privée des personnes et ainsi de se trouver en conformité avec les prévisions du RGPD.

Une analyse d’impact peut porter sur un seul traitement ou sur plusieurs traitements.

La réalisation d’une analyse d’impact est obligatoire lorsque le traitement est «  susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées  ».

La notion de risque doit s’apprécier en termes de gravité et de probabilité pour les personnes concernées.
Les risques peuvent notamment être : l’accès aux données par des personnes non autorisées, la modification non désirée des données, la disparition des données etc.

La CNIL est venue préciser qu’un traitement est présumé comporter un risque important pour la vie privée des personnes si le traitement remplit au moins deux des critères suivants :
- évaluation/scoring (y compris le profilage) ;
- décision automatique avec effet légal ou similaire ;
- surveillance systématique ;
- collecte de données sensibles ;
- collecte de données personnelles à large échelle ;
- croisement de données ;
- personnes vulnérables (patients, personnes âgées, enfants, etc.) ;
- usage innovant (utilisation d’une nouvelle technologie) ;
- exclusion du bénéfice d’un droit/contrat.

L’analyse d’impact doit contenir :
- une description systématique des traitements envisagés et de leurs finalités ;
- une évaluation de la nécessité/proportionnalité des traitements ;
- une évaluation des risques pour les droits et libertés des personnes ;
- les mesures envisagées pour faire face aux risques.

Par ailleurs, lorsqu’une analyse d’impact relative à la protection des données indique que le traitement présenterait un risque élevé (la CNIL a précisé qu’un risque peut être estimé comme élevé lorsqu’il induit pour les personnes des conséquences importantes voire irréversibles qu’elles ne pourraient pas surmonter et/ou lorsqu’il semble évident que le risque se produira), le responsable du traitement doit consulter l’autorité de contrôle préalablement au traitement pour avis en lui communiquant l’analyse d’impact.

L’analyse d’impact ne sera pas immédiatement exigée à la date du 25 mai 2018 pour (i) les traitements qui ont fait l’objet d’une formalité préalable auprès de la CNIL avant le 25 mai 2018 et (ii) ceux qui ont été consignés au registre d’un correspondant « informatique et libertés ». Pour ces traitements, les entreprises bénéficieront d’un délai de trois ans à compter du 25 mai 2018 pour réaliser une analyse d’impact.

L’étude d’impact doit être anticipée et réalisée dès aujourd’hui dans tous les autres cas, dès lors que le traitement présente un risque élevé, soit :
- pour tout nouveau traitement mis en œuvre après le 25 mai 2018 ;
- pour les traitements antérieurs n’ayant pas fait l’objet de formalités préalables auprès de la CNIL ;
- pour les traitements, antérieurs au 25 mai et qui ont été dispensés d’étude d’impact en raison de l’accomplissement d’une formalité préalable auprès de la CNIL, mais qui font l’objet d’une modification significative.

Le fait de ne pas réaliser une étude d’impact lorsque cela est obligatoire est passible d’une amende d’un montant maximal de 10 millions d’euros ou jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.

Dans les cas où elle n’est pas obligatoire, l’analyse d’impact est toutefois recommandée en ce qu’elle facilite la preuve de la conformité au règlement européen.

Anaïs Olivier
Avocat au barreau d’Aix-en-Provence
olivier.anais chez avocat-conseil.fr

Recommandez-vous cet article ?

Donnez une note de 1 à 5 à cet article :
L’avez-vous apprécié ?

99 votes

Bienvenue sur le Village de la Justice.

Le 1er site de la communauté du droit, certifié 6e site Pro en France: Avocats, juristes, fiscalistes, notaires, commissaires de Justice, magistrats, RH, paralegals, étudiants... y trouvent services, informations, contacts et peuvent échanger et recruter. *

Aujourd'hui: 149 715 membres, 24037 articles, 126 607 messages sur les forums, 4 000 annonces d'emploi et stage... et 1 400 000 visites du site par mois en moyenne. *


FOCUS SUR >

[Tribune de la Rédaction] ChatGPT : même pas peur...

A LIRE AUSSI >

Avocat en Droit des étrangers, empathie et polyvalence au service des Droits de l'Homme.




LES HABITANTS

Membres

PROFESSIONNELS DU DROIT

Solutions

Formateurs