Votre métier
icone de recherche
icone de recherche
logo
Accueil/ Actualités - La Quotidienne/ Affaires/ Informatique et libertés

La Cnil précise les conditions d'une analyse d’impact pour la protection des données personnelles

La Cnil donne des lignes directrices pour préciser le périmètre de l’obligation de réaliser une analyse d’impact sur la protection des données (AIPD), les conditions de réalisation de cette analyse et les cas dans lesquels elle doit lui être transmise.

Délib. Cnil nos 2018-326 et 2018-327 du 11-10-2018 : JO 6-11 textes nos 81 et 82


QUOTI-20181127-affaires-cnil.jpg

Le règlement européen sur la protection des données personnelles (RGPD), qui institue le principe de responsabilisation des entreprises (« accountability »), contraint le responsable de traitement à réaliser une analyse d’impact relative à la protection des données (AIPD) lorsque ce traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées (art. 35).

La Commission nationale de l’informatique et des libertés (Cnil) vient de publier des lignes directrices qui précisent le périmètre de cette obligation, les conditions de réalisation de l’AIPD et les cas dans lesquels celle-ci doit lui être transmise. Ces lignes directrices complètent celles adoptées au niveau européen par l’ancien groupe de travail G29 (Lignes directrices WP 248 rév. 01, 4-10-2017) et reprises à son compte par le nouveau Comité européen à la protection des données (CEPD), qui remplace le G29 depuis le 25 mai 2018. La Cnil indique que les responsables de traitement peuvent également se reporter aux référentiels sectoriels qu'elle a adoptés.

1. S’agissant des traitements soumis à la réalisation d’une AIPD, la Cnil considère notamment que, si un traitement remplit au moins deux des neuf critères identifiés par le CEPD pour caractériser la présence d'un risque élevé (par exemple, données traitées à grande échelle, données sensibles, croisement ou combinaison de données, évaluation/notation, prise de décision automatisée avec un effet juridique ou un effet similaire), ce traitement doit faire l’objet d’une AIPD, sauf si le responsable prouve qu’un tel risque n’existe pas.

Conformément à ce que prévoit le RGPD (art. 35, 4), la Cnil a établi une liste de traitements pour lesquels une AIPD est requise. Cette liste tient compte des critères issus des lignes directrices du CEPD. Par exemple, compte tenu des critères « évaluation/notation » et « prise de décision automatisée avec un effet juridique ou un effet similaire », nécessitent une AIPD les traitements impliquant le profilage des personnes pouvant aboutir à leur exclusion du bénéfice d’un contrat ou à la suspension, voire à la rupture, de celui-ci.

2. Pour ce qui concerne les conditions de réalisation d’une AIPD, la Cnil estime en particulier que la méthode choisie doit permettre de satisfaire aux critères dégagés dans les lignes directrices du CEPD (ann. 2 : « Critères d’acceptabilité d’une AIPD ») et impliquer chaque acteur du traitement considéré (le délégué à la protection des données, le sous-traitant, les personnes concernées et la maîtrise d’ouvrage, selon les cas).

3. Une AIPD faisant apparaître des risques résiduels élevés malgré les mesures envisagées par le responsable de traitement doit être transmise à la Cnil (RGPD art. 36). Celle-ci précise notamment que le respect d’un référentiel permettra de considérer qu’il n’y pas de risques résiduels élevés, tandis que les traitements s'en écartant devront conduire le responsable de traitement à s'interroger sur l'obligation de la consulter.

En pratique : La Cnil propose sur son site internet des guides méthodologiques, ainsi qu’un logiciel d’aide à la rédaction des AIPD.

Dominique LOYER-BOUEZ

Pour en savoir plus sur cette question : voir Mémento Concurrence consommation nos 17305 s.

© Editions Francis Lefebvre - La Quotidienne