Dans l'actualité AIPD, RGPD : une nouvelle ère pour les entreprises
A compter du 25 mai 2021, la réalisation d’une analyse d’impact relative à la protection des données (AIPD ou PIA : Privacy Impact Assessment) devient pleinement obligatoire pour les traitements de données présentant des risques élevés pour les droits et libertés des individus. Ce changement acte la fin de la période de dispense de trois ans à compter du 25 mai 2018, accordée par la CNIL dans certaines conditions.
Il s’agissait notamment des traitements :
- qui avaient fait l'objet d'une formalité de déclaration préalable avant le 25 mai 2018 ;
- ou qui avaient été consignés au registre du Correspondant Informatique et Libertés (CIL), sous réserve de n'avoir pas été modifiés.
Point sur l'AIPD, nouvelle obligation d'entreprise en amont du lancement d'un traitement à risque (s) pour l'utilisateur
Depuis son entrée en application, la volonté du RGPD est celle d’accompagner l’innovation de l’entreprise. Ce qui passe par l’obligation de mettre en place une AIPD. Cette obligation s’applique à toutes les entreprises collectrices de données personnelles, quelle que soit leur taille.
En référence à l’article 35 du RGPD, il s’agit d’une analyse de risques préalable mise en oeuvre par l’entreprise Responsable de Traitement. Celle-ci vise à mesurer le risque associé à tout traitement susceptible d’engendrer des risques élevés pour les droits informatiques et libertés des parties prenantes de l’entreprise : qu’il s’agisse de prospects ou de clients, de salariés ou de partenaires concernés par ces traitements.
Cette obligation s’applique à toutes les entreprises au sens large, du moment qu’elles sont responsables d’un traitement de données à risque(s) élevé(s) pour les droits et libertés des individus concernés. Les entreprises publiques, administrations, collectivités, associations ou autres organismes publics n’échappent donc pas à l’obligation de réaliser une AIPD.
Périmètre des traitements obligatoirement soumis à une AIPD
Différentes opérations de traitement peuvent engendrer un risque élevé pour les droits et libertés des personnes concernées. Pour accompagner les professionnels dans une appréciation anticipée d’opérations de traitements candidates, les autorités de protections des données précisent dans le cadre des lignes directrices du G29, que le traitement est éligible à une AIPD dès lors qu’il remplit au moins deux des neufs critères listés ci-après :
- évaluation, scoring ou établissement de profils ;
- prise automatisée de décisions ;
- traitement de données sensibles ou se rapportant à des personnes vulnérables (enfants, personnes âgées, patients…) ;
- surveillance systématique à grande échelle ;
- traitement de données à grande échelle ;
- rapprochement des données ;
- exclusion du bénéfice d’un droit/d’un contrat ;
- transfert de données vers des pays hors UE ;
- usage innovant (introduction d’une nouvelle technologie) .
Plus le traitement remplit de critères, plus il présente un risque élevé pour les droits et libertés des personnes.
Méthodologie d'une AIPD : les 7 étapes à ne pas griller
Une AIPD représente concrètement un processus complet de gestion des risques informatiques et libertés des utilisateurs, qu'un nouveau projet ou traitement pourrait embarquer nativement avec lui. L'élimination de ces risques est un vecteur d'inclusion numérique, de respect de la vie privée et du cadre légal.
Il est vivement recommandé, voire tenu, de mettre à jour cette évaluation des risques (au moins tous les trois ans). S’inscrivent également dans les pratiques recommandées, le déploiement des mesures de sécurité additionnelles, nécessaires pour faire face aux risques résiduels qui en résulteraient.
Une AIPD représente donc un processus complet de gestion des risques dans le respect de la réglementation. Au-delà, c’est surtout un outil de transparence et de confiance vis-à-vis des utilisateurs internes ou externes à l’entreprise responsable de traitement.
Dans le processus décisionnel, les conclusions d’une AIPD se basent sur :
- le niveau de gravité (par exemple : ampleur du risque, nombre d’impacts ou conséquences),
- et le niveau de vraisemblance (i.e. possibilité/probabilité que le risque d’atteinte à la vie privée se réalise)
du risque encouru au regard du contexte, de la nature et de la finalité du traitement.
Conservez précieusement toutes vos AIPD. En cas de contrôle, elles prouvent efficacement votre volonté de mise en conformité à la réglementation (accountability).
Le cabinet Alcees se tient à votre disposition pour vous informer et vous conseiller dans votre démarche de mise et/ou maintien en conformité avec le RGPD, et notamment dans la réalisation d’une à plusieurs AIPD. Faîtes le point avec nous.