2024 : l’analyse d’impact et le RGPD

analyse d'impact RGPD Sysguard

Le Règlement général sur la protection des données (RGPD) impose à certains responsables de traitement de réaliser une analyse d’impact relative à la protection des données (AIPD). Cette opération est essentielle avant de mettre en œuvre un traitement de données à caractère personnel. Cette obligation trouve son fondement dans l’article 35 du RGPD. Elle s’applique aux traitements susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes concernées. Ce que nous aborderons dans un premier point avant d’aborder le moment de réaliser cette analyse d’impact

Les traitements concernés par le besoin d’une analyse d’impact

L’objectif de l’analyse d’impact est d’identifier et d’évaluer les risques que le traitement de données à caractère personnel peut faire peser sur les droits et libertés des personnes concernées. Cette analyse permet donc au responsable de traitement de prendre les mesures nécessaires pour réduire les risques et garantir la protection des données personnelles.

Elle est obligatoire pour les traitements de données à caractère personnel, susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes concernées. En effet, ces risques sont inhérents à la nature des données traitées, aux finalités du traitement, aux moyens de traitement utilisés ou au contexte dans lequel le traitement est effectué.

Ainsi, les traitements suivants sont susceptibles d’être concernés par une analyse d’impact :

  • Les traitements de données sensibles, telles que les données à caractère personnel relatives à la santé, à l’origine raciale ou ethnique, aux opinions politiques, aux convictions religieuses ou philosophiques, ou à l’appartenance syndicale.
  • Les traitements de données à caractère personnel qui font l’objet d’un transfert vers un pays tiers ou une organisation internationale qui n’assure pas un niveau de protection adéquat des données à caractère personnel.
  • Les traitements qui impliquent un suivi systématique des personnes à grande échelle.
  • Les traitements qui utilisent des nouvelles technologies, telles que l’intelligence artificielle ou le big data.

Quand faire une analyse d’impact

Le caractère obligatoire de l’analyse d’impact

Une analyse d’impact revêt un caractère obligatoire lorsque deux critères de la liste énumérée (par la CNIL) ci-dessous sont présents :

  • Évaluation/scoring (y compris le profilage) ;
  • Décision automatique avec effet légal ou similaire ;
  • Surveillance systématique ;
  • Collecte de données sensibles ou données à caractère hautement personnel ;
  • Collecte de données personnelles à large échelle ;
  • Croisement de données ;
  • Personnes vulnérables (patients, personnes âgées, enfants, etc.) ;
  • Usage innovant (utilisation d’une nouvelle technologie) ;
  • Exclusion du bénéfice d’un droit/contrat

Source : https://cnil.fr  

Également, le non-respect de l’obligation d’effectuer une analyse d’impact peut entraîner des sanctions administratives, telles que des amendes pouvant atteindre 20 000 euros pouvant aller jusqu’à 2% du chiffre d’affaires mondial

Le process de réalisation d’une analyse d’impact

En principe, elle se fait le plus en amont possible avant de commencer les registres de traitement. Elle a un intérêt légitime et répond à des objectifs précis

Pour cela, toute organisation fait appel à un responsable de traitement ou par un prestataire de services spécialisé. Dans le process mis en œuvre, le responsable de traitement ou le prestataire mandaté procède à l’identification des risques en analysant les éléments suivants :

  • La nature des données traitées
  • Les finalités du traitement
  • Les moyens de traitement utilisés
  • Le contexte dans lequel le traitement est effectué

Une fois les risques identifiés, le responsable de traitement ou, le prestataire, doit les évaluer. Cette évaluation permet de déterminer la gravité des risques et de définir un plan d’action avec les mesures nécessaires pour les réduire.

Ensuite, le responsable de traitement doit ensuite définir les mesures techniques et organisationnelles nécessaires pour réduire les risques identifiés. Ces mesures peuvent notamment porter sur :

  • La limitation de la collecte des données
  • La pseudonymisation ou la pseudonymisation des données
  • La sécurisation des données
  • La transparence du traitement

De plus, on recommande de faire tous les ans une analyse d’impact car les données évoluent constamment dans toutes organisations

En cas de risques élevé, il doit consulter la Commission nationale de l’informatique et des libertés (CNIL). La CNIL peut donner son avis sur le traitement et sur les mesures prises pour le réduire.

Conclusion

L’Analyse d’impact est un outil important pour garantir la protection des données à caractère personnel. Elle permet aux responsables de traitement de prendre les mesures nécessaires pour réduire les risques et de se conformer au RGPD.

En conséquence, elle ne devrait pas être négligée. Ce qui est pourtant le cas par une grande majorité d’organisations. Or vu sa finalité, elle doit être prise davantage en considération car elle responsabilise en aidant à construire efficacement la mise en conformité quant au RGPD.

Besoin de vous mettre en conformité quant au RGPD et/ou de faire une analyse d’impact ? Contactez-nous

analyse d'impact RGPD Sysguard
analyse d’impact RGPD Sysguard

0 commentaires

Ecrit par Stéphane Rondelot

Juriste de formation, je suis expert en droit et en communication. Depuis plus de 20 ans, je forme les entreprises et les personnes en phase de création de société sur le droit des sociétés, l'économie et la communication. Passionné de nouvelles technologies, je me suis intéressé très tôt au droit de l'internet et bien entendu au RGPD.

Publié le 26 janvier 2024