[Étape 8 du RGPD] Les Analyses d’Impact relatives à la Protection des Données
Le Règlement Général sur la Protection des Données (RGPD), introduit par l’Union européenne et contrôlé par la Commission Nationale de l'Informatique et des Libertés (CNIL) est entré en vigueur le 25 mai 2018. Avec l’introduction d’un cadre plus responsable en termes de sécurité, le RGPD et la directive Police-Justice visent à rendre les organisations davantage responsables du traitement de leurs données. Celles-ci doivent ainsi changer nombre de leurs processus de traitement de données existants et en introduire de nouveaux afin de protéger les données à caractère personnel. L’un de ces nouveaux processus encadrés sera obligatoire : il s’agit des Analyses d’Impact relatives à la Protection des Données (AIPD).
Les Analyses d’Impact relatives à la Protection des Données
L’Analyse d’Impact relative à la Protection des Données (AIPD) ou Privacy Impact Assessment (PIA) en anglais désigne un outil important dans la responsabilisation des entreprises : il les aide non seulement à construire des traitements de données respectueux de la vie privée, mais aussi à démontrer leur conformité au Règlement Général sur la Protection des Données (RGPD). L’Analyse d’Impact relative à la Protection des Données est obligatoire pour les traitements de données personnelles qui sont susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes concernées.
Selon la CNIL et le Comité Européen de la Protection des Données (CEPD), l'AIPD se décompose en trois parties :
- Une description détaillée du traitement mis en œuvre, comprenant tant les perspectives techniques qu’opérationnelles,
- D’un point de vue juridique, l’évaluation de la nécessité et de la proportionnalité concernant les principes et droits fondamentaux (finalité du traitement, types de données et durées de conservation, information et droits des personnes, etc.) fixés par la loi et qui doivent être respectés, quels que soient les risques,
- D’un point de vue technique, l’étude des risques sur la sécurité des données (confidentialité, intégrité et disponibilité) ainsi que leurs impacts potentiels sur la vie privée, qui permet de déterminer les mesures techniques et organisationnelles nécessaires pour protéger les données.
Les types de traitements à risque élevé concernés par l’AIPD
La CNIL a dressé une liste de 14 types d’opérations à risque élevé pour lesquelles l’AIPD est requise, dont certains touchent le cadre de gestion des ressources humaines, à savoir :
- Les traitements de données de santé mis en œuvre par les établissements de santé ou les établissements médico sociaux pour la prise en charge des personnes,
- Les traitements portant sur des données génétiques de personnes dites « vulnérables » (patients, employés, enfants, …),
- Les traitements établissant des profils de personnes physiques à des fins de gestion des ressources humaines,
- Les traitements ayant pour finalité de surveiller de manière constante l’activité des employés concernés,
- Les traitements ayant pour finalité la gestion des alertes et des signalements en matière sociale et sanitaire,
- Les traitements ayant pour finalité la gestion des alertes et des signalements en matière professionnelle,
- Les traitements des données de santé nécessaires à la constitution d’un entrepôt de données ou d’un registre,
- Les traitements impliquant le profilage des personnes pouvant aboutir à leur exclusion du bénéfice d’un contrat ou à la suspension voire à la rupture de celui-ci,
- Les traitements mutualisés de manquements contractuels constatés, susceptibles d’aboutir à une décision d’exclusion ou de suspension du bénéfice d’un contrat,
- Les traitements de profilage faisant appel à des données provenant de sources externes,
- Les traitements de données biométriques aux fins d'identifier une personne physique de manière unique parmi lesquelles figurent des personnes dites vulnérables (élèves, personnes âgées, patients, demandeurs d’asile, ...),
- L’instruction des demandes et gestion des logements sociaux,
- Les traitements ayant pour finalité l’accompagnement social ou médico-social des personnes,
- Les traitements de données à caractère personnel de localisation à large échelle.
Quand effectuer une Analyse d’Impact sur la Protection des Données ?
Parmi ses textes européens, l’Article 35 du RGPD concerne les Analyses d’Impact relatives à la Protection des Données (AIPD). L’AIPD est une analyse visant à déterminer si la modification d’un système existant de traitement de données ou l’introduction d’un nouveau système peut compromettre d’une quelconque manière la confidentialité des données à caractère personnel d’une personne. Le RGPD impose une AIPD lorsqu’un traitement de données présente un risque élevé vis-à-vis des droits et libertés des personnes concernées.
Le Règlement Général sur la Protection des Données encadré par la CNIL exige l’AIPD plus particulièrement dans trois mesures :
- Quand une organisation mène une évaluation systématique et approfondie des données à caractère personnel via un processus automatisé comme le profilage, et que les décisions qui en découlent ont des conséquences juridiques pour les personnes concernées. Par exemple, une entreprise peut profiler les données relatives aux médias sociaux de clients pour comprendre leurs préférences d’achat ou leurs orientations politiques.
- Quand une organisation traite des catégories spécifiques de données comme la race, l’origine ethnique ou des données à caractère personnel comme le casier judiciaire. Par exemple, si une banque d’investissement est légalement contrainte de traiter des informations personnelles dans le cadre de la lutte contre le blanchiment ou de détecter des transactions frauduleuses, une AIPD peut l’aider à identifier un risque pour la personne concernée.
- Quand une entreprise effectue une surveillance à grande échelle et systématique d’un espace public.
Par exemple, un détaillant peut décider d’utiliser un logiciel de reconnaissance faciale dans des kiosques de centre commercial. Ce logiciel peut servir à personnaliser les publicités en fonction du sexe et de la tranche d’âge du visiteur. Une AIPD peut obliger le détaillant à supprimer toute information dans un laps de temps donné après l’affichage de la publicité et à ne pas associer ces données à des profils de réseaux sociaux.
Quels sont les risques encourus en cas de non-respect de l’AIPD ?
En vertu du cadre RGPD, les décisions rendues de non-respect des exigences de la CNIL applicables en matière d’AIPD peuvent donner lieu à des amendes imposées par l’autorité de contrôle compétente.
Ne pas effectuer d’AIPD ou de PIA alors que le traitement est soumis à l’obligation d’une telle analyse, de réaliser l’analyse d’une manière incorrecte ou de ne pas consulter l’autorité de contrôle compétente lorsqu’elle est requise est passible d'une amende administrative pouvant s'élever jusqu'à 10 000 000€ ou, dans le cas d'une entreprise, jusqu'à 2% du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu.
Comment conduire une Analyse d’Impact sur la Protection des Données ?
Les étapes de l’AIPD selon la CNIL
La gouvernance des données doit établir des contrôles, afin que les AIPD respectent les directives du RGPD. L’équipe de gouvernance, en collaboration avec le service juridique et le service de conformité, doit identifier et documenter les opérations de traitement qui pourraient mettre en danger les données.
Après avoir identifié les opérations de traitement qui pourraient mettre en danger la sécurité des données, l’AIPD doit être menée avant de procéder au traitement. Le résultat de l’évaluation doit déterminer la stratégie et les contrôles à adopter en matière de traitement pour préserver la confidentialité des personnes concernées. Encore une fois, cette stratégie doit être le fruit d’un travail d’équipe et impliquer par exemple les équipes informatique, de gouvernance, juridique, de conformité, des finances, etc.
Enfin, les entreprises et leurs responsables RGPD doivent garantir que les résultats de l’AIDP sont intégrés dans des systèmes et processus sous forme de solutions de protection des données.
Utiliser Talend pour les Analyses d’Impact relatives à la Protection des Données
Talend Data Quality et Talend Metadata Manager sont en mesure de capturer, découvrir et profiler de nouveaux ensembles de données et la sémantique correspondante d’une manière hautement automatisée, puis appliquer ces règles de contrôle et de sécurité à grande échelle. Dès lors, ces outils peuvent jouer un rôle actif dans une Analyse d’Impact relative à la Protection des Données pour n’importe quel système d’information.
Imaginons, par exemple, qu’une entreprise souhaite réaliser une Analyse d’Impact relative à la Protection des Données sur son lac de données qui ingère de grandes quantités de données provenant d’appareils connectés. Talend Data Quality peut prendre en charge l’AIPD en identifiant des informations à caractère personnel dans l’ensemble de données, qui seront alors masquées avant d’être ingérées dans le lac de données.
Les étapes suivantes de l’Analyse d’Impact RGPD
La conduite d’Analyses d’Impact relatives à la Protection des Données constitue l’Étape 8 de ce plan. Pour en savoir plus sur les sept premières étapes de la liste, consultez les liens dans la barre latérale.
L’Analyse d’Impact relative à la Protection des Données préconisée par la CNIL et le CEPD peut sembler être une décision uniquement liée à la justice, mais c’est bien plus que ça : elle consiste notamment à profiler les données pour déterminer si elles représentent un risque élevé pour les droits et libertés des personnes concernées mais aussi à adopter des mesures d’atténuation lors de leur traitement. Dans le doute, les entreprises peuvent consulter l’avis de leur responsable de la protection des données (RGPD) pour mener l’évaluation.
L’étape suivante de la liste du plan global en 16 étapes de mise en œuvre d’un programme de gouvernance des données en vue d’assurer la conformité au RGPD consiste à mener des évaluations du risque lié au prestataire.
← Étape 7 | Étape 9 →
Plus d'articles connexes
- Tout comprendre au RGPD grâce au guide Talend
- Qu'est-ce que la minimisation des données ?
- Se préparer au RGPD
- [Étape 14 du RGPD] Comment contrôler le cycle de vie des informations
- [Étape 15 du RGPD] Comment établir des accords de partage des données
- [Étape 16 du RGPD] Comment assurer la conformité au RGPD avec les contrôles
- [Étape 13 du RGPD] Comment gérer l’End User Computing
- [Étape 11 du RGPD] Comment reconstituer le lignage des données pour le RGPD
- [Étape 9 du RGPD] Comment mener des évaluations du risque lié au prestataire
- [Étape 12 du RGPD] Comment contrôler les modèles analytiques
- [Étape 10 du RGPD] Comment améliorer la qualité des données
- [Étape 7 du RGPD] Comment instaurer des normes de masquage des données
- [Étape 3 du RGPD] Comment confirmer les propriétaires des données
- [Étape 6 du RGPD] Comment définir des normes d’utilisation acceptable pour le RGPD
- [Étape 2 du RGPD] L’importance de créer une taxonomie des données
- [Étape 4 du RGPD] Comment identifier des ensembles de données critiques et des éléments de données critiques
- [Étape 1 du RGPD] Comment développer des politiques, normes et contrôles
- [Étape 5 du RGPD] Comment établir des normes de collecte des données