Selon l’article 4.1 du RGPD, les « données à caractère personnel » concernent toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée ») ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale [1].

En outre, le Règlement Général pour la Protection des Données à caractère personnel (UE) 2016/679 entré en vigueur depuis le 25 mai 2018 est venu renforcer les droits des personnes concernées en leur consacrant plusieurs droits dont le droit d’accès [2], le droit de rectification [3], le droit à l’effacement [4], le droit à la limitation du traitement [5], le droit d’opposition [6], le droit à la portabilité [7].

Pour ce qui concerne le champ d’application du RGPD, il faut signaler que le celui-ci est applicable lorsque :
 Le prestataire de traitement est situé sur le territoire de l’UE, et ce, même si les données concernent des personnes situées en dehors de l’UE ;
 Le prestataire de traitement collecte des données relatives à des personnes localisées sur le territoire de l’UE, même si ces dernières se trouvent hors de l’UE ;
 Le prestataire met en oeuvre des traitements visant à fournir des biens et des services aux résidents européens ou à les cibler.
La mise en œuvre de ces droits s’effectue par ailleurs par une saisine du responsable du traitement (R.T) ou son sous-traitant (S.T).

Par ailleurs, l’article 4.2 du RGPD dispose que le « traitement » se définit comme toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction [8].

Toutefois, pour éviter que le traitement des données à caractère personnel soit exposé à un fort risque d’une particulière gravité, le RGPD en son article 35 et la CNIL proposent à tout responsable de traitement ou s’il y a lieu à son sous-traitant de procéder à une « Analyse d’Impact » avant tout traitement [9].

Une analyse d’impact relative à la protection des données est un processus dont l’objet est de décrire le traitement, d’en évaluer la nécessité ainsi que la proportionnalité et d’aider à gérer les risques pour les droits et libertés des personnes physiques liés au traitement de leurs données à caractère personnel, en les évaluant et en déterminant les mesures nécessaires pour y faire face [10].

Selon l’article 35 du RGPD, lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel.

Une seule et même analyse peut porter sur un ensemble d’opérations de traitement similaires qui présentent des risques élevés similaires. Lorsqu’il effectue une analyse d’impact relative à la protection des données, le responsable du traitement demande conseil au délégué à la protection des données, si un tel délégué a été désigné.

Nous verrons les cas pour lesquels l’analyse d’impact n’est pas obligatoire (II) après avoir vu ceux pour lesquels elle est obligatoire (I).

I) Cas pour lesquels l’analyse d’impact est obligatoire.

D’abord, l’analyse d’impact doit décrire les opération de traitement et les finalités, y compris, le cas échéant, l’intérêt légitime poursuivi par le responsable du traitement, évaluer la nécessité et la proportionnalité des opérations de traitement au regard de la finalité, évaluer les risques pour les droits et libertés des personnes concernées ainsi que les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du présent règlement, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes affectées.

Ensuite, une analyse d’impact est dite obligatoire lorsqu’elle est définie directement par le RGPD en application des lignes directrices du G29 reprise par la CNIL ou en fonction de la liste des traitements pour lesquels une analyse d’impact est obligatoire [11].

L’article 35.3 du RGPD dispose que l’analyse d’impact relative à la protection des données visée au paragraphe 1 est, en particulier, requise dans les cas suivants [12] :

a) l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire ;

b) le traitement à grande échelle de catégories particulières de données visées à l’article 9, paragraphe 1, ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10 ; ou de données sensibles (qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale…).

c) la surveillance systématique à grande échelle d’une zone accessible au public.

Par ailleurs, le G29 a identifié neuf critères, qui lorsqu’au moins deux d’entre eux sont réunis, une analyse d’impact devra nécessairement être faite [13].

On y retrouve :
 Évaluation/scoring (y compris le profilage) ;
 Décision automatique avec effet légal ou similaire ;
 Surveillance systématique ;
 Collecte de données sensibles ou données à caractère hautement personnel (patients, employés, enfants etc.) ;
 Collecte de données personnelles à large échelle (géolocalisation d’utilisateurs d’une application, mobile etc.) ;
 Croisement de données ;
 Personnes vulnérables (patients, personnes âgées, enfants, etc.) ;
 Usage innovant (utilisation d’une nouvelle technologie) ;
 Exclusion du bénéfice d’un droit/contrat.

Lorsqu’un traitement ne remplissant qu’un seul des neuf critères représente un risque élevé pour la vie privée, il devra faire l’objet d’une analyse d’impact.
Selon les résultats de cette analyse d’impact, des mesures techniques et organisationnelles devront être prises par le responsable de traitement pour limiter ces risques (Réduction du volume des données traitées, anonymisation ou Pseudonymisation, délais impartis pour l’effacement données…).

De plus, selon l’article 36 du RGPD, le responsable du traitement devra consulter l’autorité de contrôle préalablement au traitement lorsqu’une analyse d’impact relative à la protection des données indique que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque [14].

L’autorité de contrôle fournit par écrit, dans un délai maximum de huit semaines à compter de la réception de la demande de consultation, un avis écrit au responsable du traitement et, le cas échéant, au sous-traitant, et peut faire usage des pouvoirs visés à l’article 58. Ce délai peut être prolongé de six semaines, en fonction de la complexité du traitement envisagé. L’autorité de contrôle informe le responsable du traitement et, le cas échéant, le sous-traitant de la prolongation du délai ainsi que des motifs du retard, dans un délai d’un mois à compter de la réception de la demande de consultation. Ces délais peuvent être suspendus jusqu’à ce que l’autorité de contrôle ait obtenu les informations qu’elle a demandées pour les besoins de la consultation.

Enfin, la CNIL a également mis en place le logiciel open source PIA disponible sur le site de la CNIL, ainsi que les bonnes pratiques et référentiels de la CNIL.

II) Cas pour lesquels une analyse d’impact n’est pas obligatoire.

A côté des cas pour lesquels une analyse d’impact est obligatoire, la CNIL a publié une liste des opérations ne nécessitant pas une analyse d’impact.

Sont notamment concernés :
 Traitement de gestion de la relation fournisseur (opérations administratives liées aux contrats, aux commandes, aux factures etc.) ;
 Les traitements mis en œuvre à des fins de ressources humaines pour la gestion du personnel des organismes qui emploient moins de 250 personnes ;
 Traitement de données de santé nécessaires à la prise en charge d’un patient par un professionnel de santé exerçant à titre individuel au sein d’un cabinet médical, d’une officine de pharmacie ou d’un laboratoire de biologie médicale ;
 Traitement mis en oeuvre par les avocats dans le cadre de l’exercice de leur profession à titre individuel.

Par ailleurs, selon l’article 33 RGPD, en cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l’autorité de contrôle compétente conformément à l’article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques [15].

De plus, lorsque la notification à l’autorité de contrôle n’a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard.
En outre, le sous-traitant notifie au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance.

Également, lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement doit informer directement dans les meilleurs délais à la personne concernée de la violation de ses données.

La communication à la personne concernée doit décrire en termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins les informations telles que le nom et les coordonnées du délégué à la protection des données ou tout autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues, la description des conséquences probables de la violation de données à caractère personnel, les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives [16].