RGPD : les opérations où l’analyse d'impact est requise et ses lignes directrices

RGPD : les opérations où l’analyse d’impact est requise et ses lignes directrices

Deux délibérations CNIL au JO

Avatar de l'auteur
Marc Rees

Publié dans

Droit

06/11/2018
10

RGPD : les opérations où l’analyse d'impact est requise et ses lignes directrices

La CNIL a diffusé ce matin au Journal officiel deux délibérations. Elles concernent ceux engagés dans une mise en conformité avec le règlement général sur la protection des données (RGPD). Elles concernent les analyses d’impact, rendues obligatoires dans certains cas identifiés par le texte européen.

Mis en œuvre depuis le 25 mai 2018, le RGPD impose une série d’obligations aux responsables de traitement (ou à leurs sous-traitants). Parmi elles, l’analyse d’impact (ou AIPD) est une étape majeure du processus. Elle est requise dès lors qu’un traitement est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques » selon l’article 35 du texte, analysé ligne par ligne dans nos colonnes. 

Le règlement décrit trois situations où un traitement présente sans doute un tel risque : profilage avec effet juridique, traitement à grande échelle de données sensibles ou relatives à des condamnations pénales et des infractions et surveillance systématique à grande échelle d'une zone accessible au public.

Fidèle à sa logique de responsabilité, le texte laisse néanmoins à chaque acteur le soin de les jauger. Pour les accompagner, les autorités européennes, désormais réunies au sein du Comité européen de la protection des données (CEPD), ont publié en 2017 neuf critères permettant de considérer requise une telle analyse. Il suffit que deux d’entre eux soient vérifiés pour que l’AIPD soit en principe obligatoire :  

  1. Données traitées à grande échelle ;
  2. Données sensibles (origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, données génétiques ou de santé, données biométriques et données concernant la vie ou l'orientation sexuelle) ou données hautement personnelles (données relatives à des communications électroniques, données de localisation, données financières, etc.) ;
  3. Données relatives aux personnes vulnérables (patients, personnes âgées, enfants, etc.) ;
  4. Croisement ou combinaison de données ;
  5. Évaluation/scoring (y compris le profilage) ;
  6. Prise de décision automatisée avec un effet juridique ou similaire ;
  7. Surveillance systématique de personnes ;
  8. Traitement pouvant exclure du bénéfice d'un droit, d'un service ou d'un contrat ;
  9. Utilisation innovante ou application de nouvelles solutions technologiques ou organisationnelles.

Les traitements exigeant systématiquement une analyse d'impact

En vertu de l’article 35.4 du RGPD, ce matin au Journal officiel,  la CNIL a diffusé une liste importante et très concrète. Elle dresse l’inventaire des opérations pour lesquelles une analyse d'impact est toujours requise.

14 situations sont listées à l’aide des trois situations du RGPD. Il s’agira par exemple des « traitements portant sur des données génétiques de personnes dites « vulnérables » (patients, employés, enfants, etc.) », de ceux « établissant des profils de personnes physiques à des fins de gestion des ressources humaines » ou « ayant pour finalité la gestion des alertes et des signalements » en matière sociale et sanitaire ou professionnelle.

De même, on trouve sans surprise les systèmes de profilage des personnes pouvant mener à leur exclusion du bénéfice d'un contrat ou à la suspension voire à la rupture de celui-ci. S’y ajoutent l’« instruction des demandes et gestion des logements sociaux » ou encore les données de localisation à large échelle.

Point important, cette liste n’est pas exhaustive, en ce sens qu’un traitement qui ne s’y retrouverait pas ne pourra exonérer son responsable d’une telle analyse, dès lors que ces opérations restent susceptibles « d'engendrer un risque élevé pour les droits et libertés des personnes physiques ».

Les lignes directrices pilotant les analyses d'impact

Dans une seconde délibération, la CNIL a adopté cette fois les lignes directrices pilotant justement ces analyses d’impact. Des lignes qui viennent compléter celles du G29 (futur CEPD), ainsi que les référentiels sectoriels déjà ébauchés par la CNIL elle-même. D’ailleurs, celle-ci prévient que leur respect pourra dans certains cas exonérer la réalisation d’une AIPD.

Mais que disent concrètement ces lignes ? La CNIL exige déjà que l’AIPD soit mise en œuvre préalablement à l’activation du traitement, puis revue régulièrement et « en tout état de cause tous les trois ans ». S’appuyant sur l’article 35.7 du RGPD, l’analyse comprend à tout le moins :

  • « Une description systématique des opérations de traitement envisagées et de ses finalités
  • Une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités ;
  • Une évaluation des risques pour les droits et libertés des personnes concernées, et
  • Les mesures envisagées pour faire face aux risques. »

Ce chantier doit par ailleurs impliquer plusieurs personnes, dont le délégué à la protection des données, les éventuels sous-traitants, le responsable de la sécurité des systèmes d'information, voire les personnes physiques concernées. Selon la délibération, « la commission recommande de documenter les apports de chaque acteur sollicité ou, à l'inverse, le choix fait de ne pas recueillir l'avis d'un acteur donné. »

Enfin, l’analyse doit être mise à la disposition de l’autorité, voire lui être transmise directement si elle fait apparaître des risques résiduels.

10

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Les traitements exigeant systématiquement une analyse d'impact

Les lignes directrices pilotant les analyses d'impact

Commentaires (10)


Le 06/11/2018 à 14h 40

Merci Marc pour ce travail de veille pas franchement évident !



Amusant, dans les traitements imposants une DPIA y a rien sur les données d’infractions ou de condamnations (perso c’est pas plus mal ^^ )


Le 06/11/2018 à 14h 47

Par contre on peut toujours se brosser pour savoir ce qu’est ou non un traitement à grande échelle…


vizir67 Abonné
Le 06/11/2018 à 16h 28





Enfin, l’analyse doit être mise à la disposition de l’autorité

voire lui être transmise directement si elle fait apparaître des risques résiduels.



heu….

y-a pas plus d’info. ?



Le 06/11/2018 à 18h 35







vizir67 a écrit :



Enfin, l’analyse doit être mise à la disposition de l’autorité

voire lui être transmise directement si elle fait apparaître des risques résiduels.



heu….

y-a pas plus d’info. ?





Le sens est que si tu estimes que malgré les mesures de confidentialité et de sécurité prises (aussi bien organisationnelles que techniques), tu n’arrives pas à “atténuer” (terme dont la portée reste toujours inconnue à ce jour) le risque élevé pour les droits et libertés des personnes, tu dois solliciter la CNIL. (les traitements ayant fait l’objet d’une démarche auprès de la CNIL avant le RGPD (déclaration/autorisation), sont dispensés pour 3 ans de faire la DPIA). 



La CNIL devra alors procéder à des recommandations, donner des conseils, voire pourquoi pas suspendre le traitement… 



En pratique, la présentation faite sur le site de la CNIL donne le sentiment (erroné) que tout le monde doit faire une DPIA.



A titre d’exemple, elle a pris le soin de développer un logiciel afin de mener une DPIA, mais quasiment rien s’agissant du registre des traitements, sinon un modèle moisi (excel et rtf), alors que l’obligation de tenir un registre est largement plus répandue que celle de faire une DPIA…



Et ayant tendance à voir le mal partout ^^ , je sens venir le prétexte de la certification (qui remplace la labellisation CNIL qui a fait un four), présentée comme le Graal de la conformité.



Déjà, les Décrets sur les DPO donnent clairement la couleur à grand renfort de certification personnelle par la CNIL et de renvoi à la norme ISO 17024:2012 truc muche.



Néanmoins, vu l’ambiance, si c’est le projet qui est dans les tuyaux, les entreprises n’accepteront pas de se faire plumer pour un certificat de conformité formelle au RGPD qui ne les protégera de rien en cas d’incident.



Et plus largement, me coltinant souvent aux problématiques de conformité RGPD des entreprises, j’ai le sentiment qu’il est urgent que le législateur (hélas ça sera par ordonnances du gouvernement) viennent clairement définir les objectifs poursuivis et les moyens d’y parvenir en réécrivant la Loi informatique et libertés comme annoncé.



Car face à des textes imprécis et un sentiment d’arbitraire (pas toujours injustifié cf. l’absence de définition de la notion de traitement à grande échelle, notion qui déclenche pleins d’obligations dont celle d’avoir un DPO et de faire une DPIA), le tout pour satisfaire à un formalisme ne garantissant en rien l’effectivité des droits (et à mon avis qui aura l’effet inverse; “je suis formellement conforme, va te brosser avec tes droits”), beaucoup d’entreprises se braquent et la grogne se structure dans les organisations patronales et professionnelles…



Le 06/11/2018 à 21h 38

Woooaaaah ! Ça c’est un article génial !

C’est LE truc nécessaire au sujet du RGPD.



Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci Merci


vizir67 Abonné
Le 07/11/2018 à 07h 57

merci !



ps. : ton explication MERITERAIT d’être mise en lien (coucou Marc) dans la New !

pour ceux que ça intéresse uniquement (et comme ça, l’article “reste-digeste”) ! <img data-src=" />



Le 07/11/2018 à 08h 36

Ravi de voire que la CNIL se bouge un peu afin de mettre le GDPR en application (belle réactivité sur les blockchains aussi). l’EDPB met malheureusement un peu plus de temps à se lancer. J’espère que c’est juste une question administrative, et qu’ils arriveront à maintenir la qualité des rapports de leur prédécesseur.


Le 07/11/2018 à 09h 19







bloossom a écrit :



Ravi de voire que la CNIL se bouge un peu afin de mettre le GDPR en application (belle réactivité sur les blockchains aussi). l’EDPB met malheureusement un peu plus de temps à se lancer. J’espère que c’est juste une question administrative, et qu’ils arriveront à maintenir la qualité des rapports de leur prédécesseur.





Je t’invite à lire la visite de la quadrature auprès de la CNIL, pour voir comment celle-ci “se bouge”… :

https://www.laquadrature.net/fr/technopolice_cnil



Le 07/11/2018 à 11h 10

Merci pour l’article même s’il donne un peu le spleen! ça illustre bien l’ambivalence de l’etat vis à vis des données personnelles et on peut voir la même gêne dans la jurisprudence de la CJUE.



&nbsp;Cependant, je n’ai pas dit que le problème était empoigné avec la force nécessaire, je constatait juste qu’au niveau des autorités de protection des données en Europe, la cnil est loin d’être inactive. Le fait que ce type d’organisme soit sous-doté ou castré au niveau de la portée de ses actes est malheureusement très fréquent.



C’est peut-être parce que je n’ai aucun espoir, dans le contexte actuel de voir une autorité politique ne serait-ce que tendre l’oreille aux avis de la cnil que je suis plutôt content quand elle aide à mettre en oeuvre la GDPR.


Le 07/11/2018 à 11h 25







bloossom a écrit :



Merci pour l’article même s’il donne un peu le spleen! ça illustre bien l’ambivalence de l’etat vis à vis des données personnelles et on peut voir la même gêne dans la jurisprudence de la CJUE.



&nbsp;Cependant, je n’ai pas dit que le problème était empoigné avec la force nécessaire, je constatait juste qu’au niveau des autorités de protection des données en Europe, la cnil est loin d’être inactive. Le fait que ce type d’organisme soit sous-doté ou castré au niveau de la portée de ses actes est malheureusement très fréquent.





Je te l’accorde.







bloossom a écrit :



C’est peut-être parce que je n’ai aucun espoir, dans le contexte actuel de voir une autorité politique ne serait-ce que tendre l’oreille aux avis de la cnil que je suis plutôt content quand elle aide à mettre en oeuvre la GDPR.





Je crois que le mal est plus profond, chaque fois que l’on a créé des Juridictions et/ou des procédures d’exception c’était pour couvrir les méfaits de certains, ou à l’inverse dénier de leurs droits certains autres.



En faisant de la CNIL non pas seulement une autorité de régulation mais la Juridiction centrale de la protection des données à caractère personnel, on en a fait un sous droit lointain et inaccessible au commun, qui ne peut utilement saisir un Juge lequel est de fait, sinon en droit, dépossédé (sauf quelques infractions pénales biens spécifiques).