La CNIL a diffusé ce matin au Journal officiel deux délibérations. Elles concernent ceux engagés dans une mise en conformité avec le règlement général sur la protection des données (RGPD). Elles concernent les analyses d’impact, rendues obligatoires dans certains cas identifiés par le texte européen.

Mis en œuvre depuis le 25 mai 2018, le RGPD impose une série d’obligations aux responsables de traitement (ou à leurs sous-traitants). Parmi elles, l’analyse d’impact (ou AIPD) est une étape majeure du processus. Elle est requise dès lors qu’un traitement est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques » selon l’article 35 du texte, analysé ligne par ligne dans nos colonnes. 

Le règlement décrit trois situations où un traitement présente sans doute un tel risque : profilage avec effet juridique, traitement à grande échelle de données sensibles ou relatives à des condamnations pénales et des infractions et surveillance systématique à grande échelle d'une zone accessible au public.

Fidèle à sa logique de responsabilité, le texte laisse néanmoins à chaque acteur le soin de les jauger. Pour les accompagner, les autorités européennes, désormais réunies au sein du Comité européen de la protection des données (CEPD), ont publié en 2017 neuf critères permettant de considérer requise une telle analyse. Il suffit que deux d’entre eux soient vérifiés pour que l’AIPD soit en principe obligatoire :  

1. Données traitées à grande échelle ;
2. Données sensibles (origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, données génétiques ou de santé, données biométriques et données concernant la vie ou l'orientation sexuelle) ou données hautement personnelles (données relatives à des communications électroniques, données de localisation, données financières, etc.) ;
3. Données relatives aux personnes vulnérables (patients, personnes âgées, enfants, etc.) ;
4. Croisement ou combinaison de données ;
5. Évaluation/scoring (y compris le profilage) ;
6. Prise de décision automatisée avec un effet juridique ou similaire ;
7. Surveillance systématique de personnes ;
8. Traitement pouvant exclure du bénéfice d'un droit, d'un service ou d'un contrat ;
9. Utilisation innovante ou application de nouvelles solutions technologiques ou organisationnelles.

Les traitements exigeant systématiquement une analyse d'impact

En vertu de l’article 35.4 du RGPD, ce matin au Journal officiel,  la CNIL a diffusé une liste importante et très concrète. Elle dresse l’inventaire des opérations pour lesquelles une analyse d'impact est toujours requise.

14 situations sont listées à l’aide des trois situations du RGPD. Il s’agira par exemple des « traitements portant sur des données génétiques de personnes dites « vulnérables » (patients, employés, enfants, etc.) », de ceux « établissant des profils de personnes physiques à des fins de gestion des ressources humaines » ou « ayant pour finalité la gestion des alertes et des signalements » en matière sociale et sanitaire ou professionnelle.

De même, on trouve sans surprise les systèmes de profilage des personnes pouvant mener à leur exclusion du bénéfice d'un contrat ou à la suspension voire à la rupture de celui-ci. S’y ajoutent l’« instruction des demandes et gestion des logements sociaux » ou encore les données de localisation à large échelle.

Point important, cette liste n’est pas exhaustive, en ce sens qu’un traitement qui ne s’y retrouverait pas ne pourra exonérer son responsable d’une telle analyse, dès lors que ces opérations restent susceptibles « d'engendrer un risque élevé pour les droits et libertés des personnes physiques ».

Les lignes directrices pilotant les analyses d'impact

Dans une seconde délibération, la CNIL a adopté cette fois les lignes directrices pilotant justement ces analyses d’impact. Des lignes qui viennent compléter celles du G29 (futur CEPD), ainsi que les référentiels sectoriels déjà ébauchés par la CNIL elle-même. D’ailleurs, celle-ci prévient que leur respect pourra dans certains cas exonérer la réalisation d’une AIPD.

Mais que disent concrètement ces lignes ? La CNIL exige déjà que l’AIPD soit mise en œuvre préalablement à l’activation du traitement, puis revue régulièrement et « en tout état de cause tous les trois ans ». S’appuyant sur l’article 35.7 du RGPD, l’analyse comprend à tout le moins :

• « Une description systématique des opérations de traitement envisagées et de ses finalités
• Une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités ;
• Une évaluation des risques pour les droits et libertés des personnes concernées, et
• Les mesures envisagées pour faire face aux risques. »

Ce chantier doit par ailleurs impliquer plusieurs personnes, dont le délégué à la protection des données, les éventuels sous-traitants, le responsable de la sécurité des systèmes d'information, voire les personnes physiques concernées. Selon la délibération, « la commission recommande de documenter les apports de chaque acteur sollicité ou, à l'inverse, le choix fait de ne pas recueillir l'avis d'un acteur donné. »

Enfin, l’analyse doit être mise à la disposition de l’autorité, voire lui être transmise directement si elle fait apparaître des risques résiduels.