Questions les plus fréquemment posées - Analyse d'impact relative à la protection des données

Le responsable du traitement doit, le cas échéant, vérifier si le traitement est effectué conformément à AIPD. Un tel contrôle doit au moins avoir lieu lorsqu'il est question d'un changement du risque qu'impliquent les traitements.

Étant donné que les risques évoluent généralement avec le temps, la Commission vie privée estime opportun que le responsable du traitement inclue lui-même un contrôle périodique de l'AIPD réalisée. Dans le cadre d'une bonne gestion des risques, la Commission vie privée s'attend à ce que le responsable du traitement effectue un contrôle au moins tous les 2 ans. La Commission vie privée recommande également que le résultat du contrôle soit officiellement soumis à l'approbation des membres de la direction ou des cadres de l'organisation du responsable du traitement.

Enfin, la Commission vie privée attire l'attention sur le fait qu'il existe aussi d'autres circonstances pouvant donner lieu à la révision d'une AIPD réalisée précédemment, comme une modification des moyens de traitement utilisés ou une évolution de l'état de la technique (par ex. lorsque de nouvelles techniques de minimisation des données sont disponibles) ou la découverte d'une nouvelle vulnérabilité dans la sécurité, ...

Le nouveau règkement établit que les États membres, les autorités de contrôle, le comité européen de la protection des données (CEPD) et la Commission européenne encouragent l'élaboration de codes de conduite destinés à contribuer à la bonne application du RGPD. Dans ce cadre, il est tenu compte de la spécificité des différents secteurs et des besoins spécifiques des micro, petites et moyennes entreprises.

Le responsable du traitement doit prendre en considération de tels codes de conduite lorsqu'une AIPD est réalisée. La Commission vie privée souligne le fait que la Commission européenne peut rendre obligatoires certains codes de conduite, après leur approbation par le CEPD.

Source : articles 35 et 40 du RGPD

Le nouveau règlement prévoit deux circonstances dans lesquelles l'obligation de procéder à une AIPD n'est potentiellement pas d'application, à savoir

  • lorsque le traitement envisagé est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis ; et
  • lorsque le traitement envisagé est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement.

Afin que cette exception soit d'application, il faut toutefois que :

  • le traitement trouve son fondement dans le droit de l'Union ou dans le droit de l'État membre auquel le responsable du traitement est soumis ;
  • le traitement spécifique ou l'ensemble des opérations de traitement en question soient régis dans ce cadre ; et
  • une AIPD ait déjà été effectuée en tant qu'élément d'une analyse d'impact générale dans le cadre de l'adoption de ce fondement.

En outre, le législateur est toujours libre de prévoir qu'une AIPD soit toujours réalisée avant le traitement.

La Commission vie privée rappelle qu'en tant qu'autorité de contrôle, elle doit en principe être consultée lors de la préparation d’une mesure législative ou réglementaire qui concerne la protection des données à caractère personnel. L'existence ou non d'une consultation préalable ne doit toutefois pas porter préjudice à l'obligation générale du responsable du traitement de réaliser une gestion des risques. La Commission vie privée estime que dans certains cas, la réalisation d'une AIPD (complémentaire) peut toujours être opportune ou nécessaire, en particulier si, au cours de la préparation d'une mesure législative ou réglementaire, on n'a aucune notion claire des traitements de données qui auront lieu dans le cadre de l'exécution.

Source : article 35 du RGPD

Ce n'est que lorsqu'il s'avère que le traitement envisagé présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures efficaces d'atténuation des risques que le traitement doit préalablement être soumis à l'autorité de contrôle. Si le risque peut être suffisamment limité à l'aide de mesures techniques et organisationnelles appropriées, aucune consultation préalable ne doit avoir lieu.

Si l'autorité de contrôle estime que le traitement envisagé n'est pas conforme au RGPD ou que les risques ne sont pas suffisamment connus ou atténués, elle fournit par écrit, dans un délai maximum de huit semaines à compter de la réception de la demande de consultation, un avis écrit au responsable du traitement (et/ou au sous-traitant) et elle peut faire usage des pouvoirs visés à l'article 58 du RGPD. Ce délai de huit semaines peut être prolongé de six semaines supplémentaires. Ces délais peuvent être suspendus jusqu'à ce que l'autorité de contrôle ait obtenu toutes les informations qu'elle a demandées pour les besoins de la consultation..

Lorsqu'une consultation préalable est obligatoire, le responsable du traitement fournit les informations suivantes :

  • le cas échéant, les responsabilités respectives du responsable du traitement, des responsables conjoints et des sous-traitants participant au traitement, en particulier pour le traitement au sein d'un groupe d'entreprises ;
  • les finalités et les moyens du traitement envisagé ;
  • les mesures et les garanties prévues afin de protéger les droits et libertés des personnes concernées en vertu du RGPD ;
  • le cas échéant, les coordonnées du délégué à la protection des données ;
  • l'analyse d'impact relative à la protection des données ; 
  • toute autre information demandée par l'autorité de contrôle.

Source : article 36 du RGPD

Oui. Il existe des cas dans lesquels il peut être utile d'élargir la portée de l'AIPD au-delà d'un projet unique, par exemple lorsque des autorités publiques ou organismes publics entendent mettre en place une application ou une plateforme de traitement commune, ou lorsque plusieurs responsables du traitement envisagent de créer une application ou un environnement de traitement communs à tout un secteur ou segment professionnel.

Dans ce cas, la Commission vie privée encourage les responsables du traitement à procéder à une AIPD sur une base commune (si la réalisation d'une AIPD est requise). Cela s'applique également aux responsables du traitement qui, en raison de leurs activités, font partie d'une organisation ou d'une association de coordination (comme par ex. les écoles, clubs sportifs, mouvements de jeunesse, médecins, avocats, journalistes, ...) lorsque chacun de ces responsables du traitement entend effectuer toute une série de traitements similaires qui impliquent des risques élevés similaires.

Une AIPD ne comprend pas uniquement une appréciation des risques mais aussi les mesures visées afin de faire face aux risques, dont les garanties, les mesures de sécurité et les mécanismes pour assurer la protection des données à caractère personnel et pour démontrer que le RGPD a été respecté. Ce n'est qu'après la prise en considération des mesures de protection visées que l'on peut évaluer le risque résiduel du traitement envisagé.

En principe, le responsable du traitement est libre de choisir la méthode qu'il souhaite utiliser, à condition que celle-ci réponde à un certain nombre de caractéristiques minimales de confidentialité et d'objectivité et tienne compte des éléments minimaux prescrits par le RGPD.

La Commission vie privée estime qu'une bonne gestion des risques présente plusieurs caractéristiques minimales. Mais il est important que chaque responsable du traitement qui entreprend une AIPD utilise une méthode qui soit adaptée aux besoins et au contexte de sa propre entreprise.

En outre, la Commission vie privée recommande que le responsable du traitement se base sur des normes (internationales) déjà existantes en matière de gestion des risques, comme celles développées par l'Organisation internationale de normalisation (ISO) ou les codes de conduite élaborés ou agréés au niveau européen.

Quelle que soit la méthode finalement retenue par le responsable du traitement, la Commission vie privée estime indispensable que ce dernier indique explicitement quelle méthode a été choisie et que celle-ci soit appliquée de manière cohérente tout au long du processus de l'AIPD.

Le RGPD fait référence à "un risque élevé pour les droits et libertés des personnes physiques" mais ne définit pas cette notion. Selon le Groupe de travail "Article 29", ces termes concernent principalement le droit au respect de la vie privée mais ils peuvent également se rapporter à d'autres droits et libertés fondamentaux, comme la liberté d'expression, la liberté de pensée, de conscience et de religion, l'interdiction de discrimination et le droit à la liberté de mouvement.

Exemples de traitements qui engendrent des risques pour les droits et libertés des personnes physiques :

  • lorsque le traitement peut donner lieu à une discrimination, à un vol ou une usurpation d'identité, à une perte financière, à une atteinte à la réputation, à une perte de confidentialité de données protégées par le secret professionnel, à un renversement non autorisé du processus de pseudonymisation ou à tout autre dommage économique ou social important ;
  • lorsque les personnes concernées pourraient être privées de leurs droits et libertés ou empêchées d'exercer le contrôle sur leurs données à caractère personnel ;
  • lorsque le traitement concerne des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, la religion ou les convictions philosophiques, l'appartenance syndicale, ainsi que des données génétiques, des données concernant la santé ou des données concernant la vie sexuelle ou des données relatives à des condamnations pénales et à des infractions, ou encore à des mesures de sûreté connexes ;
  • lorsque des aspects personnels sont évalués, notamment dans le cadre de l'analyse ou de la prédiction d'éléments concernant le rendement au travail, la situation économique, la santé, les préférences ou centres d'intérêt personnels, la fiabilité ou le comportement, la localisation ou les déplacements, en vue de créer ou d'utiliser des profils individuels ;
  • lorsque le traitement porte sur des données à caractère personnel relatives à des personnes physiques vulnérables, en particulier les enfants ; 
  • lorsque le traitement porte sur un volume important de données à caractère personnel et touche un nombre important de personnes concernées ;
  • besoin d'une analyse contextuelle.

Source : article 35 du RGPD + considérant 75

Ce qui doit être considéré comme un risque élevé devra toujours se baser sur une évaluation concrète du responsable du traitement.

Ce dernier peut dans ce cadre utiliser une combinaison d'une part des lignes directrices des contrôleurs (la Commission vie privée et les autres DPA européennes) et d'autre part des listes de risques et des méthodes connues pour réaliser une évaluation des risques appropriée, à la lumière des traitements qu'il effectue.

Les lignes directrices des contrôleurs tiennent compte des diverses dispositions du RGPD qui impliquent une approche basée sur les risques ("risk based approach").

Les lignes directrices les plus actuelles sont :