Village de la Justice www.village-justice.com

Le 3ème printemps du RGPD : la finalisation obligatoire des Analyses d’Impact avant le 25 mai 2021. Par Jean-Marc Provent, DPO.
Parution : mardi 4 mai 2021
Adresse de l'article original :
https://www.village-justice.com/articles/3eme-printemps-rgpd-finalisation-obligatoire-des-analyses-impact-avant-mai-2021,39059.html
Reproduction interdite sans autorisation de l'auteur.

Dans une démarche de simplicité et d’accompagnement, la CNIL avait accordé une dispense d’obligation de réaliser un PIA (Protection Impact Assessment) ou AIPD (Analyse d’Impact sur la Protection des Données) pendant une période de 3 ans à compter du 25 mai 2018.
Ce délai prendra fin le 25 mai 2021, date à compter de laquelle la réalisation d’un PIA deviendra obligatoire pour tous les traitements susceptibles de présenter un risque élevé pour les droits et libertés des personnes concernées.

Les échéances RGPD se succèdent à un rythme soutenu difficile à suivre pour beaucoup d’entreprises françaises surtout dans cette période sanitaire pleine d’imprévus.

On retiendra de la première échéance du 31 mars 2021 que l’insistance de la CNIL pour rappeler la fin de la période de clémence sur la conformité RGPD des organisations a cette fois-ci été prise très au sérieux.

Depuis quelques jours, si vous vous connectez sur la plupart des sites français, un encart bien visible invite à recevoir votre consentement ou non sur l’usage des cookies avec un bouton « Refuser tout » qui a le même habillage graphique que « Tout accepter ». Pas difficile à implémenter mais dur quand même à avaler pour tous ces sites gratuits qui tiraient leur profit dans la récolte de tout un ensemble d’informations liées au comportement des utilisateurs.

Certains se rebiffent en proposant de payer un abonnement lorsque vous actionnez « Refuser tout », pas très RGPD tout ça ! Souvenons-nous qu’en 2019, la CNIL s’était opposée à de telles pratiques, estimant que l’internaute ne devait pas subir d’inconvénients en cas d’absence ou de retrait du consentement. Mais que par sa décision du 19 juin 2020, le Conseil d’État avait jugé que la CNIL ne pouvait interdire de manière générale et absolue les cookie walls. En réponse, la CNIL a publié le 2 avril 2021 un texte au titre plein de promesses : « Les murs de traceurs (« cookie walls ») : une pratique licite ? ». [1]

Dans cette communication, elle précise que : « La pratique des cookie walls revient à conditionner l’accès à un site à l’acceptation du dépôt de traceurs. Dans l’attente d’une clarification pérenne sur cette question par le législateur européen, la CNIL appliquera les textes en vigueur, tels qu’éclairés par la jurisprudence, pour déterminer au cas par cas si le consentement des personnes est libre et si un cookie wall est licite ou non. Elle sera, dans ce cadre, très attentive à l’existence d’alternatives réelles et satisfaisantes, notamment fournies par le même éditeur, lorsque le refus des traceurs non nécessaires bloque l’accès au service proposé. »

Depuis l’entrée en application du Règlement Général pour la Protection des données au mois de mai 2018, force est de constater que la CNIL renforce la pression.

Alors quid de la prochaine échéance du 25 mai ?

Si l’on reprend les propos de la CNIL, le PIA est un outil important pour la responsabilisation des organismes : elle les aide non seulement à construire des traitements de données respectueux de la vie privée, mais aussi à démontrer leur conformité au Règlement général sur la protection des données (RGPD). Elle est obligatoire pour les traitements susceptibles d’engendrer des risques élevés.

Bon nombre d’organisations expriment leur réticence à se lancer dans cette aventure et le délai de clémence accordé par la CNIL jusqu’au 25 mai 2021 pour la réalisation du PIA n’est pas suffisant pour expliquer cette posture. Bon nombre d’organisations s’essoufflent sur le sujet et il n’est pas rare lors d’un de nos diagnostics RGPD de découvrir un PIA laissé en plan depuis de nombreux mois.

La difficulté rencontrée par nos interlocuteurs réside à la fois dans l’identification des traitements pour lesquels la réalisation d’un PIA est obligatoire et la méthode à utiliser pour le réaliser.

La CNIL liste des critères d’évaluation précis permettant de déterminer les traitements devant faire l’objet d’un PIA :
- Évaluation/scoring (y compris le profilage) ;
- Décision automatique avec effet légal ou similaire ;
- Surveillance systématique ;
- Collecte de données sensibles ;
- Collecte de données personnelles à large échelle ;
- Croisement de données ;
- Personnes vulnérables (patients, personnes âgées, enfants, etc.) ;
- Usage innovant (utilisation d’une nouvelle technologie) ;
- Exclusion du bénéfice d’un droit/contrat.

Les traitements qui remplissent au moins deux des critères ci-dessus doivent faire l’objet d‘une analyse d’impact.

C’est ensuite la démarche proprement dite qui en décourage plus d’un.

Le PIA se décompose en trois parties :
- Une description détaillée du traitement mis en œuvre, comprenant tant les aspects techniques qu’opérationnels ;
- L’évaluation, de nature plus juridique, de la nécessité et de la proportionnalité concernant les principes et droits fondamentaux (finalité, données et durées de conservation, information et droits des personnes, etc.) non négociables, qui sont fixés par la loi et doivent être respectés, quels que soient les risques ;
- L’étude, de nature plus technique, des risques sur la sécurité des données (confidentialité, intégrité et disponibilité) ainsi que leurs impacts potentiels sur la vie privée, qui permet de déterminer les mesures techniques et organisationnelles nécessaires pour protéger les données.

C’est là aussi où le bât blesse. Le PIA impose de disposer d’expertises juridiques et techniques (Data, sécurité), compétences qui ne sont pas toujours disponibles en interne. Le recours à l’extérieur devient inévitable.

La création d’une entité spécialisée dans le PIA au sein de notre cabinet RGPD a connu un succès qui ne se dément pas. L’utilisation de l’outil de la CNIL, l’intégration de DPO certifiés, d’experts IT et de spécialistes de la sécurité permettent de réaliser un PIA en quelques jours.

L’échéance du 31 mars a permis d’apprécier la détermination de la CNIL à faire respecter le RGPD après cette période de 3 ans de clémence. Elle permet de peser les risques réels à ne pas se soumettre à cette nouvelle échéance du 25 mai.

Année 2021, année RGPD !

Jean-Marc Provent DPO Co-Fondateur de Citizen Shield