La CNIL publie la liste des traitements nécessitant une AIPD

Le 6 novembre 2018, la Commission Nationale de l’Informatique et des Libertés (CNIL) a publié au Journal officiel une liste de traitements pour lesquels une analyse d’impact relative à la protection des données (AIPD, ou PIA en anglais) est requise.

Quels objectifs poursuit l’AIPD ?

L’AIPD est une analyse qui doit être effectuée lorsqu’un traitement est susceptible d’engendrer, en raison de ses caractéristiques intrinsèques ou de l’utilisation de technologies nouvelles, un risque élevé pour les droits et libertés des personnes physiques. Elle doit être menée avant la mise en œuvre de tout nouveau traitement et être revue de manière régulière – en tout état de cause tous les trois ans ou en cas de modification du traitement – pour s’assurer que le niveau de risque reste acceptable.

L’AIPD est un outil phare de la mise en conformité au Règlement général sur la protection des données à caractère personnel (« RGPD »). Il permet de s’assurer du respect des principes de fond imposés par la réglementation (finalité du traitement, droits des personnes…) et de prouver, pour une entreprise, sa démarche d’accountability, c’est-à-dire l’obligation de démontrer le respect des règles du RGPD.

Il s’agit donc de vérifier le respect des principes et droits fondamentaux d’une part, et, de juger des risques sur la sécurité des données personnelles d’autre part.

Un véritable enjeu de sécurité appliqué aux données personnelles

Le RGPD envisage la sécurité du traitement comme un élément essentiel et préalable à la protection des données personnelles. La CNIL propose trois niveaux progressifs de sécurité pour se mettre en conformité et, l’AIPD fait partie de ce processus de sécurisation des traitements.

Les deux premiers niveaux concernent la mise en place de mesures de sécurité essentielles qui assurent une sécurisation minimale des systèmes d’information. Ces mesures valent pour tout traitement de donnée indépendamment de leur caractère stratégique ou sensible.

En effet, il importe de mettre en œuvre ces mesures avant de penser à protéger spécifiquement les systèmes particulièrement sensibles et qui comprennent des données à caractère personnel. C’est l’objet du troisième niveau : la protection spécifique des systèmes sensibles et l’impact sur les droits et libertés des personnes physiques.

Quels sont ces traitements pour lesquels une AIPD est obligatoire ?

Le RGPD a prévu la possibilité pour les autorités de contrôle de publier une liste de traitements pour lesquels une AIPD est requise. A contrario, il est également prévu la possibilité de publier une liste blanche énumérant les traitements qui ne seront pas soumis à une AIPD.

Cette liste non-exhaustive contient 14 traitements sur des sujets tels que la surveillance systématique des salariés, la géolocalisation à grande échelle, les données de santé, etc…

Chaque traitement identifié ci-dessus repose sur au moins 2 des 9 critères issus des lignes directrices du Comité européen de la protection des données, accessibles ici (données sensibles ou à caractère hautement personnel, surveillance systématique, données traitées à grande échelle, données concernant des personnes vulnérables…). Le comité estime que lorsqu’un traitement satisfait à deux de ces critères alors une AIPD est nécessaire. Pour autant, même si le traitement ne remplit qu’un critère ou ne figure pas sur la liste publiée sur la CNIL, une AIPD peut être menée.

Enfin, la publication d’un rapport d’AIPD n’est pas obligatoire, mais peut contribuer à améliorer la confiance entre les parties et renforcer la transparence dans le traitement des données personnelles des personnes concernées. Ainsi, au-delà d’une obligation légale, c’est une bonne pratique permettant de renforcer les relations commerciales.

Article écrit par Amaya Rousseau pour Harmonie Technologie

RENDEZ-VOUS 

Le 22 et 23 janvier 2019

FIC 2019 Security & Privacy by design

De 09h à 19h

Lille Grand Palais
1 boulevard des Cités Unies
59777 Lille – Euralille

L’expertise au centre de notre stratégie de croissance