Traitement de données personnelles et analyse d’impacts : bientôt tous concernés !

Le groupement des autorités de protection des données personnelles (le « G29 »), que préside actuellement la présidente de la CNIL, a rendu, le 4 avril 2017, ses Lignes Directrices sur le champ d’application de la nouvelle obligation – qu’auront tous les organismes à compter du 25 mai 2018 – de réaliser des analyses d’impact, avant la mise en œuvre de certains traitements.

Le groupement des autorités de protection des données personnelles (le « G29 »), que préside actuellement la présidente de la CNIL, a rendu, le 4 avril 2017, ses Lignes Directrices sur le champ d’application de la nouvelle obligation – qu’auront tous les organismes à compter du 25 mai 2018 – de réaliser des analyses d’impact, avant la mise en œuvre de certains traitements.

Cette nouvelle obligation est imposée par le Règlement Général sur la protection des Données Personnelles 2016/679 (« RGDP »), qui entrera en application le 25 mai 2018. Une obligation d’autant plus essentielle que, en cas de contrôle de la CNIL qui constaterait qu’une telle analyse d’impact n’a pas été réalisée, l’organisme concerné encourt une amende pouvant aller jusqu’à 10 millions d’euros ou 2 % de son chiffre d’affaires mondial.

Les Lignes Directrices du G29 apportent des éclairages utiles et confirment l’urgence, pour toutes les entreprises, d’adopter une véritable culture « informatique et libertés ».

1) Qu’est-ce qu’une « analyse d’impact » ?

Il s’agit d’une analyse que tout organisme, public ou privé, doit réaliser avant de mettre en œuvre un traitement de données à caractère personnel, et qui :

  • décrit les caractéristiques du traitement ;
  • identifie les risques que peut impliquer ce traitement pour les personnes concernées, et évalue leur niveau de gravité ;
  • propose des mesures pour neutraliser ou minorer les risques identifiés.

2) Cette obligation s’applique-t-elle à toutes les entreprises et à tous les types de traitements ?

Oui, à toutes les entreprises, quelle que soit leur taille.

En revanche, seuls sont concernés les traitements susceptibles « d’engendrer un risque élevé pour les droits et libertés des personnes physiques ». Le RGDP ne définit pas précisément ce qu’il faut entendre par « risques élevés ». Toutefois, il donne des exemples.

3) Quels sont ces exemples ?

Le RGDP en donne trois, dont notamment :

1. « Prise de décision automatisée produisant des effets juridiques ou affectant de manière significative » la personne concernée (il s’agit notamment des traitements pouvant aboutir à des exclusions ou à des discriminations) ;

2. « Surveillance systématique à grande échelle d’une zone accessible au public » ;

Dans ses Lignes Directrices, le G29 en donne sept autres :

3. « Traitement à grande échelle de données sensibles » (susceptible de faire apparaître les origines raciales ou ethniques, les opinions politiques, les convictions religieuses, philosophiques ou syndicales, l’état de santé, l’orientation sexuelle).

4. « Évaluation ou scoring » (par exemple, l’établissement de profils en fonction de la navigation d’utilisateurs sur un site Web) ;

5. « Traitement à grande échelle » (en corrélation avec la population concernée, le volume de données, la durée ou l’éventuel caractère permanent du traitement) ;

6. « L’existence de rapprochements ou interconnexions » ;

7. « Le caractère vulnérable » des personnes concernées (employés, enfants, personnes âgées, malades…) ;

8. « Caractère innovant des technologies employées » (biométrie par exemple) ;

9. « Transfert de données en dehors de l’Union européenne » ;

10. « Traitements susceptibles de priver les personnes d’un droit ou d’un contrat » (par exemple, l’établissement de notes fondant ensuite une décision d’octroi de crédits).

4) Les autorités publieront-elles une liste de traitements types soumis ou dispensés d’une telle obligation ?

Oui, ces deux listes sont prévues.

Selon le G29, les traitements dispensés d’analyse d’impact, au titre de cette liste, devraient être soumis à des conditions strictes de mise en œuvre qui, à l’image des actuelles normes simplifiées édictées par la CNIL, si elles ne sont pas respectées, l’organisme perdra le bénéfice de la dispense.

5) Le règlement communautaire indique qu’il est nécessaire de « demander l’avis » des personnes concernées : est-ce une obligation ?

Lorsqu’il effectue une analyse d’impact, le responsable de traitement, d’une part, doit demander « conseil » au délégué à la protection des données (si celui-ci existe)  et, d’autre part, peut demander « l’avis des personnes concernées ou de leurs représentants ».

Selon le G29, si cette consultation des personnes concernées constitue une simple faculté, le responsable de traitement doit conserver une trace documentaire du motif l’ayant conduit à s’en dispenser. S’il décide de mener une telle consultation, celle-ci peut prendre la forme de sondages auprès d’un échantillon représentatif de personnes. Enfin, si le responsable de traitement est libre de ne pas se soumettre à l’avis des personnes concernées, le G29 considère qu’il devra justifier d’un motif et en conserver une trace documentaire.

6) Les traitements mis en œuvre avant le 25 mai 2018 sont-ils concernés par cette nouvelle obligation ?

En principe « non », en vertu du principe de non-rétroactivité, sauf si de tels traitements subissent des évolutions postérieures à cette date.

Si le G29 recommande néanmoins de le faire, c’est avant tout pour inciter les responsables de traitement à réaliser un exercice d’autodiagnostic sur la conformité de leurs traitements en vérifiant, à cette occasion, la licéité ainsi que l’adéquation des mesures de sécurité aux risques identifiés, en particulier en tenant compte des éventuelles évolutions du traitement qui peuvent avoir accru les risques depuis leur création. Le G29 insiste particulièrement sur le caractère vivant d’une analyse d’impact : la recommandation est de mettre à jour ce document régulièrement, et a minima tous les trois ans.

Sommaire

Autres articles

some
La cour d’appel de Paris apporte des précisions sur le régime applicable en matière de violation de licence de logiciel
La cour d’appel de Paris a, dans un arrêt du 19 mars 2021, considéré que la violation d’un contrat de licence de logiciel ne relevait pas de la responsabilité délictuelle mais de la responsabilité contractuelle.
some
Publication d’un avis de la Commission Supérieure du Numérique et des Postes portant recommandations dans le domaine de la sécurité numérique
La CSNP a publié [...] un avis portant recommandations dans le domaine de la sécurité numérique, et plaidant notamment pour la création d’un parquet national consacré à la cybercriminalité et pour la création d’un dispositif dédié au paiement des rançons
some
Le Conseil d’Etat se prononce sur la conservation des données de connexion à des fins de sauvegarde de la sécurité nationale
Dans une décision en date du 21 avril 2021, le Conseil d’Etat s’est prononcé sur la conformité du droit français au droit européen en matière de conservation des données de connexion par les fournisseurs de services de communications électroniques.
some
Le révolutionnaire avis client
À l’heure où le marketing traditionnel est remis en cause, l’importance de l’avis client est grandissante. 88 % des internautes consultent les avis clients avant un achat en ligne et 73 % avant un achat en boutique .
some
La Commission européenne apporte des éclaircissements concernant les transferts de données personnelles vers le Royaume Uni
La Commission européenne a annoncé avoir engagé des démarches pour autoriser de façon générale les transferts de données à caractère personnel vers le Royaume Uni en publiant le 19 février 2021 deux projets de décisions dites « d’adéquation ».
some
Blocage de sites proposant des produits contrefaisants
En cas d’atteinte à une marque, le titulaire de celle-ci peut solliciter des mesures de blocage d’accès à des sites internet auprès des FAI sur le fondement de l’article 6-I-8 de la LCEN.