Village de la Justice www.village-justice.com

Données personnelles : quand faut-il réaliser une analyse d’impact ? Par Anaïs Olivier, Avocate.
Parution : lundi 19 mars 2018
Adresse de l'article original :
https://www.village-justice.com/articles/donnees-personnelles-quand-faut-realiser-une-analyse-impact,28011.html
Reproduction interdite sans autorisation de l'auteur.

L’article 35 du Règlement européen sur la protection des données personnelles (« RGDP »), qui entrera en vigueur le 25 mai 2018, prévoit que lorsqu’un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable de traitement effectue, avant de procéder au traitement, une analyse de l’impact du traitement envisagé sur la protection des données à caractère personnel.

Pour rappel, le responsable de traitement est la personne physique ou morale qui détermine la finalité et les moyens d’un traitement.

L’analyse d’impact consiste en la réalisation d’une étude interne faisant apparaître les caractéristiques des traitements effectués, les risques engendrés par ces traitements et les mesures adoptées pour y faire face.
Cette analyse doit avoir lieu en amont, avant la mise en place d’un traitement et faire l’objet d’un suivi et d’une mise à jour continue.

Les analyses d’impact permettent de garantir le respect de la vie privée des personnes et ainsi de se trouver en conformité avec les prévisions du RGPD.

Une analyse d’impact peut porter sur un seul traitement ou sur plusieurs traitements.

La réalisation d’une analyse d’impact est obligatoire lorsque le traitement est «  susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées  ».

La notion de risque doit s’apprécier en termes de gravité et de probabilité pour les personnes concernées.
Les risques peuvent notamment être : l’accès aux données par des personnes non autorisées, la modification non désirée des données, la disparition des données etc.

La CNIL est venue préciser qu’un traitement est présumé comporter un risque important pour la vie privée des personnes si le traitement remplit au moins deux des critères suivants :
- évaluation/scoring (y compris le profilage) ;
- décision automatique avec effet légal ou similaire ;
- surveillance systématique ;
- collecte de données sensibles ;
- collecte de données personnelles à large échelle ;
- croisement de données ;
- personnes vulnérables (patients, personnes âgées, enfants, etc.) ;
- usage innovant (utilisation d’une nouvelle technologie) ;
- exclusion du bénéfice d’un droit/contrat.

L’analyse d’impact doit contenir :
- une description systématique des traitements envisagés et de leurs finalités ;
- une évaluation de la nécessité/proportionnalité des traitements ;
- une évaluation des risques pour les droits et libertés des personnes ;
- les mesures envisagées pour faire face aux risques.

Par ailleurs, lorsqu’une analyse d’impact relative à la protection des données indique que le traitement présenterait un risque élevé (la CNIL a précisé qu’un risque peut être estimé comme élevé lorsqu’il induit pour les personnes des conséquences importantes voire irréversibles qu’elles ne pourraient pas surmonter et/ou lorsqu’il semble évident que le risque se produira), le responsable du traitement doit consulter l’autorité de contrôle préalablement au traitement pour avis en lui communiquant l’analyse d’impact.

L’analyse d’impact ne sera pas immédiatement exigée à la date du 25 mai 2018 pour (i) les traitements qui ont fait l’objet d’une formalité préalable auprès de la CNIL avant le 25 mai 2018 et (ii) ceux qui ont été consignés au registre d’un correspondant « informatique et libertés ». Pour ces traitements, les entreprises bénéficieront d’un délai de trois ans à compter du 25 mai 2018 pour réaliser une analyse d’impact.

L’étude d’impact doit être anticipée et réalisée dès aujourd’hui dans tous les autres cas, dès lors que le traitement présente un risque élevé, soit :
- pour tout nouveau traitement mis en œuvre après le 25 mai 2018 ;
- pour les traitements antérieurs n’ayant pas fait l’objet de formalités préalables auprès de la CNIL ;
- pour les traitements, antérieurs au 25 mai et qui ont été dispensés d’étude d’impact en raison de l’accomplissement d’une formalité préalable auprès de la CNIL, mais qui font l’objet d’une modification significative.

Le fait de ne pas réaliser une étude d’impact lorsque cela est obligatoire est passible d’une amende d’un montant maximal de 10 millions d’euros ou jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.

Dans les cas où elle n’est pas obligatoire, l’analyse d’impact est toutefois recommandée en ce qu’elle facilite la preuve de la conformité au règlement européen.

Anaïs Olivier Avocat au barreau d'Aix-en-Provence olivier.anais@avocat-conseil.fr