RGPD : la CNIL précise quand il faut réaliser une étude d’impact

08 Nov RGPD : la CNIL précise quand il faut réaliser une étude d’impact

Délibération n° 2018-326 du 11 octobre 2018 portant adoption de lignes directrices sur les analyses d’impact relatives à la protection des données (AIPD) prévues par le règlement général sur la protection des données (RGPD)

La CNIL vient d’adopter des lignes directrices afin de préciser le périmètre de l’obligation d’effectuer une analyse d’impact (Analyses d’impact relatives à la protection des données – AIPD ou Privacy Impact Assessment – PIA), les conditions de réalisation de celle-ci et, enfin, les cas dans lesquels une AIPD doit lui être transmise.

La commission considère, de manière générale, qu’un traitement qui rencontre au moins deux des critères mentionnés ci-dessous doit faire l’objet d’une AIPD :

Le règlement lui-même donne trois types de traitements susceptibles de présenter un risque élevé :
– l’évaluation systématique et approfondie d’aspects personnels fondée sur un traitement automatisé et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire ;
– le traitement à grande échelle de données sensibles ou relatives à des condamnations pénales et des infractions ;
– la surveillance systématique à grande échelle d’une zone accessible au public.

Au-delà de ces trois traitements, le CEPD a identifié neuf critères permettant de caractériser un traitement susceptible d’engendrer un risque élevé :
– données traitées à grande échelle ;
– données sensibles (origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, données génétiques ou de santé, données biométriques et données concernant la vie ou l’orientation sexuelle) ou données à caractère hautement personnel (données relatives à des communications électroniques, données de localisation, données financières, etc.) ;
– données concernant des personnes vulnérables (patients, personnes âgées, enfants, etc.) ;
– croisement ou combinaison de données ;
– évaluation/scoring (y compris le profilage) ;
– prise de décision automatisée avec un effet juridique ou similaire ;
– surveillance systématique de personnes ;
– traitement pouvant exclure du bénéfice d’un droit, d’un service ou d’un contrat ;
– utilisation innovante ou application de nouvelles solutions technologiques ou organisationnelles.

La liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise est disponible sur le site de la CNIL :
https://www.cnil.fr/sites/default/files/atoms/files/liste-traitements-avec-aipd-requise.pdf

Michaël R. AMADO