Le règlement général sur la protection des données[1], qui est entré en application le 25 mai 2018, est construit autour de deux concepts, l’accountability et le privacy by design. A la logique de la directive de 1995[2] qui était principalement tournée vers un mécanisme de formalisme fait de déclarations des traitements à l’autorité de contrôle compétente, la CNIL en France, le RGPD préfère une logique davantage tournée vers la responsabilité des acteurs. Pour ce faire, l’étape de l’analyse d’impact avant la mise en œuvre d’un traitement prend une connotation particulière. En effet, comme l’indique le guide de la CNIL intitulé « Analyse d’impact relative à la protection des données personnelles, PIA (Privacy Impact Assessment), la méthode »[3], maîtriser la bonne méthode pour la réalisation d’une étude d’impact permet à la fois de répondre aux exigences de l’accountability, c’est-à-dire à l’obligation pour le responsable de traitement de pouvoir justifier de la démarche de conformité mise en place, et de la privacy by design, c’est-à-dire la mise en place de solutions répondant dès leur conception aux exigences de protection des données personnelles.
L’analyse d’impact dans le RGPD
L’article 35 du RGPD vient préciser quand l’analyse d’impact doit être mise en place, en donnant des indices liés au type de traitement, à sa nature, à sa portée et au contexte dans lequel il se situe ainsi qu’à ses finalités. Si, au regard de ces différents éléments, les risques pour les droits et libertés des personnes concernées par le traitement sont élevés, le règlement impose qu’une analyse d’impact soit réalisée avant la mise en œuvre du traitement, même si, en pratique, il n’est pas rare de réaliser une telle analyse postérieurement. Cette description étant peu précise et donc sujette à diverses interprétations, l’article 35.3 du règlement liste une série de trois cas pour lesquels l’analyse d’impact est requise (évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques fondée sur un traitement automatisé ; traitement à grande échelle de catégories de données visées à l’article 9, paragraphe 1 (données sensibles), ou de données visées à l’article 10 ; surveillance systématique à grande échelle d’une zone accessible au public).
En plus de ces cas, des précisions ont été apportées par la CNIL et l’ancien Groupe de Travail « article 29 »[4]. En effet, une analyse d’impact doit obligatoirement être menée :
- si le traitement envisagé figure dans la liste des opérations de traitement pour lesquelles la CNIL a estimé qu’une analyse d’impact devait être réalisé[5];
- ou si le traitement remplit au moins deux des neufs critères issus des lignes directrices du Groupe de Travail « Article 29 »[6]:
Omettre une analyse d’impact alors que, pour la CNIL, une telle analyse aurait dû être réalisée entraînera un risque très important, à la fois de sanction et d’investissements supplémentaires pour la révision complète de l’outil déjà développé. On pense particulièrement aux sous-traitants, qui risquent de perdre la totalité de leur clientèle si le service qu’ils proposent n’a pas donné lieu à une analyse d’impact alors même qu’une telle analyse s’imposait.
Comment mener une analyse d’impact ?
Une grande liberté est laissée au responsable du traitement, accompagné de son DPO le cas échéant, pour mener cette analyse. Le RGPD précise dans ses considérants que « cette analyse d’impact devrait comprendre, notamment, les mesures, garanties et mécanismes envisagés pour atténuer ce risque, assurer la protection des données à caractère personnel et démontrer le respect du présent règlement »[7]. L’article 35.7 du RGPD indique ce qu’elle doit comporter a minima : une description des opérations de traitement envisagées et des finalités du traitement, y compris le cas échéant l’intérêt légitime poursuivi par le responsable du traitement, une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard de leurs finalités, une évaluation des risques pour les droits et libertés des personnes concernées et enfin les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du règlement.
Face au texte relativement lacunaire du RGPD, le responsable de traitement peut se tourner vers les outils mis à sa disposition par la CNIL. Il s’agit notamment de trois guides tels qu’une méthode[8], des modèles utiles pour formaliser l’étude d’impact[9] et des « bases de connaissance »[10]qui constituent un catalogue de mesures destinées à respecter les exigences légales L’autorité de contrôle française propose également aux responsables de traitement un logiciel open source Privacy Impact Assesment (PIA) ayant pour objet, selon cette dernière, de faciliter « la conduite et la formalisation d’analyses d’impact relatives à la protection des données telles que prévues par le RGPD ». Il ne s’agit pas d’un outil qui calcule automatiquement les risques, le risque devant être apprécié par la personne remplissant le formulaire et notamment par le responsable du traitement.
Ces outils permettent ainsi de préciser le niveau de risque à partir de deux indices notamment : la gravité (caractère préjudiciable de la réalisation du risque) et la vraisemblance qu’un tel risque se réalise.
La CNIL précise les différentes étapes de l’analyse. Celle-ci doit démarrer par une présentation et une description du contexte. Le contexte prend en compte les finalités, les enjeux, les supports,… du traitement objet de l’analyse. La seconde étape concerne les mesures mises en œuvre pour la réalisation de ce traitement, qu’elles soient juridiques (consentement de la personne concernée, informations, durée de conservation, droits d’opposition,…) ou opérationnelles (organisation interne, sécurité,…). La troisième étape est l’analyse des risques en tant que telle : d’où viennent-ils, quelle gravité, quelle probabilité qu’ils surviennent ? Puis vient la dernière étape qui consiste à se demander si l’évaluation a été concluante ou non. Si elle ne l’a pas été il convient de prendre des décisions et de se fixer des objectifs afin de remédier aux manquements, et si elle l’a été, il faut acter l’ensemble des mesures prises et les mettre en œuvre lors du traitement. Le responsable du traitement valide ensuite le DPIA.
On peut souligner le fait que ces étapes ne sont pas nécessairement chronologiques. Ainsi, il est indispensable de revenir sur l’étape concernant les mesures une fois l’étape sur les risques réalisées, car la validation des mesures envisagées ne peut se faire qu’au regard des risques prévisibles.
Pour la CNIL une telle méthode devrait être envisagée dès lors qu’un nouveau traitement est mis en place. Alors que l’accountability devient le principe directeur, et que les sanctions imposées par le règlement sont très élevées[11], il semble en effet prudent et raisonnable, malgré les contraintes certaines que cela entraîne, de mettre en place cette analyse de façon systématique. Elle doit être réalisée le responsable de traitement conseillé par son DPO s’il y en a un au sein de l’organisme et assisté, le cas échéant, par ses sous-traitants[12].
Le DPIA étant réalisé au moyen de l’outil PIA de la CNIL ou d’un autre outil logiciel, le responsable dispose d’un rapport qu’il doit conserver précieusement. Cela lui permettra de justifier de la légalité du traitement et que tout a été mis en œuvre, en amont, afin de respecter l’ensemble des principes de l’article 5.1 du RGPD.
Hubert de Segonzac, Avocat associé et DPO externe,
Avec la participation de Salomé Aulias, élève-avocate
[1] Règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.
[2] Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données
[3] Analyse d’impact relative à la protection des données (PIA). CNIL, édition février 2018.
[4] Depuis devenu le « Comité Européen de Protection des Données » à partir de la mise en application du RGPD, le 25 mai 2018.
[5] https://www.cnil.fr/sites/default/files/atoms/files/liste-traitements-aipd-requise.pdf
[6] https://www.cnil.fr/sites/default/files/atoms/files/wp248_rev.01_fr.pdf. Le Groupe de travail article 29 est le prédécesseur du Comité Européen de la Protection des Données mis en place par le RGPD.
[7] Considérant 90 du règlement.
[8] https://www.cnil.fr/sites/default/files/atoms/files/cnil-pia-1-fr-methode.pdf (édition février 2018)
[9] https://www.cnil.fr/sites/default/files/atoms/files/cnil-pia-2-fr-modeles.pdf (édition février 2018)
[10] https://www.cnil.fr/sites/default/files/atoms/files/cnil-pia-3-fr-basesdeconnaissances.pdf (édition février 2018)
[11] Pouvant aller jusqu’à une amende de 20 millions d’euros à 4 % du chiffre d’affaires annuel mondial de l’entreprise.
[12] Selon les lignes directrices concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est «susceptible d’engendrer un risque élevé» aux fins du règlement (UE) 2016/679 telles que modifiées et adoptées en dernier lieu le 04 octobre 2017 (https://www.cnil.fr/sites/default/files/atoms/files/wp248_rev.01_fr.pdf )