Qu’est-ce qu’une analyse d’impact relative à la protection des données ?
Le RGPD prône une approche réfléchie et méthodique de la sécurité des données à caractère personnel devant permettre aux entreprises d’adopter des mesures techniques et organisationnelles appropriées afin d’assurer la protection des données.
En cas de recours à une nouvelle technologie ou à un système susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le RGPD oblige l’entreprise à effectuer une analyse d’impact relative à la protection des données ('Data protection impact assessment', ci-après DPIA). Il s’agit d’une analyse des risques ayant pour objet de décrire le traitement de données à caractère personnel, d’en évaluer la nécessité ainsi que la proportionnalité et d’aider à gérer les risques pour les droits et libertés des personnes physiques en les évaluant. Ce processus permet de définir ensuite les mesures appropriées pour assurer la sécurité de ces données.
Vous trouvez de plus amples explications à ce sujet dans la recommandation n° 01/2018 du 28 février 2018 de la Commission pour la protection de la vie privée, qui a précédé l’Autorité de Protection des Données.
Quand une DPIA est-elle obligatoire ?
Lorsque le traitement est susceptible d’engendrer un "risque élevé" pour les droits et libertés
Selon l’Autorité de protection des données (APD), la probabilité d’un risque élevé suffit. L’organe européen qui chapeaute les autorités de contrôle a identifié neuf critères :
- Evaluation ou notation (y compris, notamment, le profilage et la prédiction)
- Prise de décision automatisée avec effet juridique ou effet similaire significatif
- Surveillance systématique
- Traitement des données sensibles ou données à caractère hautement personnel
- Traitement de données à caractère personnel à grande échelle (compte tenu du nombre de personnes concernées, du volume de données, de la durée ou de la permanence ou de l’étendue géographique de l’activité de traitement) ;
- Croisement et combinaison d’ensembles de données
- Données concernant des personnes vulnérables (p. ex., travailleurs)
- Utilisation ou application innovante de nouvelles solutions technologiques ou organisationnelles
- Lorsque, du fait du traitement même, les personnes concernées ne peuvent pas exercer un droit ou bénéficier d’un service ou d’un contrat
Compte tenu des critères précités, l’APD considère qu’une DPIA devrait être réalisée dès qu’un traitement répond à deux critères. S’il estime néanmoins qu’il n’y a pas lieu de réaliser une DPIA, l’employeur doit pouvoir être en mesure de motiver et de documenter sa décision. Compte tenu de ces critères, le département RH d’une grande entreprise disposant d’un large effectif devrait, en raison du nombre important de travailleurs, effectuer plusieurs DPIA pour différents processus.
Trois situations spécifiques énumérées à l’article 35.3 du RGPD
Une DPIA est requise dans les trois situations suivantes :
- En cas d’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire
- En cas de traitement à grande échelle de catégories particulières de données visées à l’article 9, paragraphe 1, ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10 ou
- En cas de surveillance systématique à grande échelle d’une zone accessible au public
Liste établie par l’autorité de contrôle
Signalons enfin que l’autorité de contrôle est aussi tenue d’établir une liste des opérations pour lesquelles une DPIA est requise. Cette liste viendrait compléter, mais non remplacer les situations énumérées ci-dessus.
L'APD a publié sa liste finale. Celle-ci est entrée en vigueur le 1er avril 2019.
Traitements pour lesquels une DPIA est requise :
- lorsque le traitement utilise des données biométriques en vue de l’identification unique des personnes intéressées se trouvant dans un lieu public ou dans un lieu privé accessible au public ;
- lorsque des données à caractère personnel sont collectées auprès de tiers afin d’être prises ensuite en considération dans le cadre de la décision de refuser ou de cesser un contrat de service déterminé avec une personne physique ;
- lorsque des données de santé d’une personne concernée sont collectées par voie automatisé à l’aide d’un dispositif médical implantable actif ;
- lorsque des données sont collectées à grande échelle auprès de tiers afin d’analyser ou de prédire la situation économique, la santé, les préférences ou centres d’intérêt personnels, la fiabilité ou le comportement, la localisation ou les déplacements de personnes physiques ;
- lorsque des catégories particulières de données à caractère personnel au sens de l’article 9 du RGPD ou des données de nature très personnelle (comme des données sur la pauvreté, le chômage, l’implication de l’aide à la jeunesse ou le travail social, des données sur les activités domestiques et privées, des données de localisation) sont échangées systématiquement entre plusieurs responsables du traitement ;
- lorsqu’il est question d’un traitement à grande échelle de données générées au moyen d’appareils dotés de capteurs qui envoient des données via Internet ou via un autre moyen (applications de « l’Internet des objets », comme les télévisions intelligentes, les appareils ménagers intelligents, les jouets connectés, les « smart cities », les compteurs d’énergie intelligents, etc.) et que ce traitement sert à analyser ou prédire la situation économique, la santé, les préférences ou centres d’intérêts personnels, la fiabilité ou le comportement, la localisation ou les déplacements de personnes physiques ;
- lorsqu’il est question d’un traitement à grande échelle et/ou systématique de données de téléphonie, d’Internet ou d’autres données de communication, de métadonnées ou de données de localisation de personnes physiques ou permettant de mener à des personnes physiques (par exemple le wifi-tracking ou le traitement de données de localisation de voyageurs dans les transports publics) lorsque le traitement n’est pas strictement nécessaire pour un service demandé par la personne concernée ;
- lorsqu’il est question de traitements de données à caractère personnel à grande échelle où le comportement de personnes physiques est observé, collecté, établi ou influencé, y compris à des fins publicitaires, et ce de manière systématique via un traitement automatisé.
|
Auparavant, une liste prévoyait également les traitements pour lesquels aucune DPIA n’était requise :
- les traitements réalisés par des entités privées qui sont nécessaires pour répondre à une obligation légale qui leur incombe, moyennant une définition par la loi des finalités du traitement, des catégories de données à caractère personnel traitées et des garanties destinées à prévenir les abus ou l’accès ou le transfert illicite ;
- les traitements de données à caractère personnel qui concernent uniquement des données qui sont nécessaires à l’administration des salaires de personnes en service ou actives pour le compte du responsable du traitement lorsque les données sont exclusivement utilisées pour cette administration des salaires, sont uniquement communiquées aux destinataires qui sont autorisés à cet effet et ne sont pas conservées plus longtemps que le temps nécessaire aux finalités du traitement ;
- les traitements de données à caractère personnel qui concernent exclusivement l’administration du personnel en service ou actif pour le compte du responsable du traitement, dans la mesure où ce traitement ne porte pas sur des données relatives à la santé de la personne concernée, ni sur des catégories particulières de données au sens de l’article 9 du RGPD, ni sur des condamnations pénales et des infractions au sens de l’article 10 du RGPD ou sur des données ayant pour but une évaluation de la personne concernée et où les données à caractère personnel traitées ne sont pas conservées plus longtemps que le temps nécessaire à l’administration du personnel et uniquement dans le cadre de l’application d’une disposition légale ou réglementaire ou sont communiquées si nécessaire à des tiers pour la réalisation des finalités du traitement ;
- les traitements de données à caractère personnel qui concernent exclusivement la comptabilité du responsable du traitement lorsque les données sont exclusivement utilisées pour cette comptabilité, lorsque le traitement concerne uniquement des personnes dont les données sont nécessaires pour la comptabilité et lorsque les données à caractère personnel ne sont pas conservées plus longtemps que nécessaire à la réalisation des finalités du traitement et que les données à caractère personnel traitées sont uniquement communiquées à des tiers dans le cadre de l’application d’une disposition légale ou réglementaire ou lorsque la communication est nécessaire pour la comptabilité ;
- les traitements de données à caractère personnel qui concernent exclusivement l’administration des actionnaires et associés lorsque le traitement porte uniquement sur des données nécessaires à cette administration, lorsque ces données concernent uniquement des personnes dont les données sont nécessaires à cette administration, lorsque les données sont communiquées à des tiers uniquement dans le cadre de l’application d’une disposition légale ou réglementaire et que les données à caractère personnel ne sont pas conservées plus longtemps que nécessaire à la réalisation des finalités du traitement ;
- les traitements de données à caractère personnel effectués par une fondation, association ou toute autre institution sans but lucratif dans le cadre de ses activités habituelles, pour autant que le traitement porte uniquement sur des données à caractère personnel relatives à ses propres membres, relatives aux personnes avec lesquelles le responsable du traitement entretient des contacts réguliers et relatives aux bénéficiaires de la fondation, de l’association ou de l’institution et qu’aucune personne ne soit enregistrée sur la base de données obtenues de tiers et que les données à caractère personnel traitées ne soient pas conservées plus longtemps que le temps nécessaire à l’administration des membres, des personnes de contact et des bénéficiaires et soient uniquement communiquées à des tiers dans le cadre de l’application d’une disposition légale et réglementaire ;
- les traitements de données à caractère personnel qui concernent exclusivement l’enregistrement de visiteurs dans le cadre d’un contrôle d’accès lorsque les données traitées restent limitées au nom et à l’adresse professionnelle du visiteur, à l’identification de son employeur, à l’identification du véhicule du visiteur, au nom, à la section et à la fonction de la personne visitée et au moment de la visite et où les données à caractère personnel traitées peuvent exclusivement être utilisées pour le contrôle d’accès et ne pas être conservées plus longtemps que le temps nécessaire à cette finalité ;
- les traitements de données à caractère personnel effectués par des établissements d’enseignement en vue de la gestion de leurs relations avec leurs élèves ou étudiants dans le cadre de leurs missions d’enseignement, dans la mesure où le traitement ne porte que sur des données à caractère personnel relatives à des élèves ou étudiants potentiels, actuels et anciens de l’établissement d’enseignement en question et qu’aucune personne ne soit enregistrée sur la base de données obtenues de tiers et que ces données soient uniquement communiquées à des tiers dans le cadre de l’application d’une disposition légale ou réglementaire et ne soient pas conservées plus longtemps que le temps nécessaire à la gestion de la relation avec l’élève ou l’étudiant ;
- Les traitements de données à caractère personnel qui concernent exclusivement la gestion de la clientèle ou des fournisseurs du responsable du traitement, pour autant que le traitement concerne uniquement des clients ou fournisseurs existants et anciens du responsable du traitement et que le traitement ne concerne pas des catégories particulières de données au sens de l’article 9 du RGPD, ni des condamnations pénales et des infractions visées à l’article 10 du RGPD et qu’en ce qui concerne l’administration de la clientèle, aucune donnée provenant de tiers ne soit enregistrée et que les données à caractère personnel traitées ne soient pas conservées pour une durée excédant celle nécessaire à la gestion normale de l’entreprise du responsable du traitement et ces données ne peuvent être transmises à des tiers que dans le cadre de l’application d’une disposition légale ou réglementaire ou pour la gestion normale de l’entreprise.
Cette liste n’est actuellement plus reprise dans la décision du Secrétariat Général de l’Autorité de protection des données entrée en vigueur le 1er avril 2019. Néanmoins, vu que les traitements cités ci-dessus ne sont pas repris dans la liste officielle des traitements devant faire l’objet d’une DPIA, nous en concluons qu’ils ne doivent pas faire l’objet d’une DPIA.
Cette liste est un outil informatif dans la mesure où le RGPD n’impose pas d’établir une liste des traitement ne devant pas faire l’objet d’un DPIA, Toutefois, en cas de doute il est conseiller de réaliser une DPIA.
|