RGPD et Analyse d’impact
By Anne Marie
Published On 5 août 2020
Quels sont les acteurs qui doivent intervenir dans cette analyse d’impact ? A qui est destiné l’analyse d’impact ? Quels en sont les intérêts?
L’analyse d’impact : quel en est le but ?
Avant de déterminer le but de l’analyse d’impact, il convient d’en rappeler l’origine. En effet l’analyse d’impact découle de l’article 35 du règlement 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel. Cet article, comme le déclare le RGPD (cf le précédent article relatif au RGPD et à la collecte de données, prévoit la réalisation d’une analyse d’impact sur la protection des données à caractère personnel ( cf notre précédent article sur la protection des données lorsqu’un traitement de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées. Mais quand doit-on parler du risque élevé au quel fait allusion le RGPD ?
Bien qu’une définition claire du « risque élevé » d’après le RGPD manque pour l’instant à l’appel, il existe néanmoins des situations clarifiées par ce dernier dans lesquelles le risque élevé est avéré à savoir : Un accès non autorisé aux données personnelles, une modification non autorisée des données personnelles et enfin une disparition des données personnelles. La clarification de la notion de risque élevé nous emmène à l’énumération des situations exigeant une analyse d’impact.
Selon l’article 35 du RGPD, l’analyse d’impact se trouve être nécessaire dans plusieurs cas. Le premier cas est celui en lien avec « l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire ». Le deuxième cas fait état du « traitement à grande échelle de catégories particulières de données dites sensibles ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10 ». Le troisième cas lui, est en rapport avec « la surveillance systématique à grande échelle d’une zone accessible au public »
Au regard de ce qui a été exposé, il convient de dire que le but d’une analyse d’impact est avant tout de procéder à une évaluation du système de traitement basée sur une analyse comparative avec les principes et droits fondamentaux (finalités, durée de conservation des données, droits des personnes…) mais aussi d’effectuer une étude des risques sur la sécurité des données (abus, accès aux données personnelles, disparition des données…).
Ce qu’il faut retenir : L’analyse d’impact a donc pour objectif principal de permettre aux organes de santé, ONG, associations de s’assurer de la protection effective des données personnelles ; gage du respect des droits et libertés des personnes témoins.
Quels acteurs interviennent dans l’analyse d’impact ?
L’analyse d’impact implique un contenu spécifique qu’il convient d’exposer avant même d’aborder le point sur l’identification des acteurs entrant en ligne de mire.
En rappel à l’article 35 du RGPD, l’analyse d’impact doit mettre en lumière :
· « Une description systématique des opérations de traitement envisagées et des finalités du traitement, y compris, le cas échéant, l’intérêt légitime poursuivi par le responsable de traitement ;
· Une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités ;
· Une évaluation des risques pour les droits et libertés des personnes concernées (…) ; et
· Les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du présent règlement, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes affectées ».
Le détail du contenu de l’analyse d’impact nous conduit à nous intéresser aux acteurs qui doivent y intervenir. Nous distinguons essentiellement trois acteurs principaux :
En premier lieu le Responsable de traitement de données, qui ici jour un rôle primordial car c’est à lui que revient la tâche de s’assurer de la conformité de l’opération au RGPD.
Ensuite intervient le délégué à la protection des données. Souvent désigné par le Responsable de traitement de données, le délégué lui, a pour rôle de l’assister dans sa tâche et de vérifier l’exécution de l’analyse d’impact. Le Responsable de la sécurité informatique rejoint le délégué à la protection des données par son rôle d’assistance dans son domaine d’expertise. Si éventuellement un sous-traitant intervient dans le traitement des données, il doit impérativement fournir son aide et les informations nécessaires à la réalisation de l’analyse d’impact.
Interviennent enfin, en tant qu’acteurs, les personnes témoins dont les données sont traitées. Ces derniers doivent en effet être interrogés par le Responsable du traitement via des sondages, enquêtes ou questionnaires afin de recueillir leurs avis sur les risques encourus. Si leur avis n’est pas demandé, le Responsable du traitement devra le justifier.
Ce qu’il faut retenir : Chaque acteur a un rôle précis à jouer lorsque l’entité s’inscrit dans une dynamique d’analyse d’impact afin d’en garantir la conformité au RGPD.
Quel est le destinataire de l’analyse d’impact ?
L’analyse d’impact n’est pas toujours obligatoire pour une entité. Elle l’est lorsque le traitement envisagé figure dans la liste des types d’opérations de traitement pour lesquelles la CNIL a estimé qu’il fallait réaliser une analyse d’impact, cf https://www.cnil.fr/sites/default/files/atoms/files/liste-traitements-aipd-requise.pdf ou lorsque le traitement remplit au moins deux des neuf critères issus des lignes directives du G29 (évaluation et profilage, décision automatique avec effet légal, surveillance systématique, collecte de données sensibles ou à caractère hautement personnel, collecte de données personnelles à grande échelle, croisement de données, personnes vulnérables comme les personnes âgées, les patients, les enfants , ou pour l’utilisation d’une nouvelle technologie et l’exclusion du bénéfice d’un droit ou d’un contrat).
Il existe néanmoins quelques cas où l’analyse d’impact n’est pas nécessaire cf https://www.cnil.fr/sites/default/files/atoms/files/liste-traitements-aipd-non-requise.pdf . En effet elle n’est pas de mise quand le traitement figure sur la liste des exceptions adoptée par la CNIL, quand le traitement ne présente pas de risques élevés pour les droits et libertés des personnes témoins, quand la nature et les finalités du traitement envisagé sont très similaires à un traitement pour lequel une analyse d’impact a déjà été menée ou lorsque le traitement répond à une obligation légale (article 6 du RGPD).
Il convient donc de préciser que si votre traitement relève du RGPD, votre analyse d’impact doit être transmise à la CNIL (lorsque le risque est élevé ou encore quand la législation nationale d’un état membre l’exige).
Ce qu’il faut retenir : L’envoi de votre analyse d’impact, lorsque vous vous trouvez dans un cas qui le justifie, se fait à l’endroit de la CNIL.
Quel est l’intérêt de l’analyse d’impact ?
L’analyse d’impact peut parfois paraitre contraignante (elle nécessite beaucoup de temps de travail, de l’organisation, de la concentration, de la rigueur…) mais elle présente un bon nombre d’avantages.
Elle permet de réduire les appréhensions et craintes récurrentes de la population concernant l’utilisation de leurs données personnelles tout en posant les bases d’un cadre de travail concis dans le but de rester conforme aux directives du RGPD. Elle constitue aussi un bon moyen pour mettre en confiance les partenaires étant donné qu’une donnée captée en fraude des droits des personnes visées n’a pas de valeur.
Soulignons-le des sanctions sont prévues par le règlement en cas de manquement aux dispositions relatives à l’analyse d’impact lorsqu’on est censé s’y soumettre ; le montant des amendes pouvant aller jusqu’à 10.000.000 d’euros.
On ne parle évidement d’analyse d’impact que lorsqu’on a procédé à une collecte de données. Mais en tant qu’association, ONG comment doit-on gérer la transformation numérique (passage du papier au numérique) dans un processus de collecte de données ? Nous y reviendrons dans notre prochain article.
Ce qu’il faut retenir : L’analyse d’impact constitue donc une preuve de professionnalisme, à l’avantage de l’organisme de collecte de données, lorsque celle-ci s’inscrit en tout conformité dans une logique de transparence.
Analyse d’impact : Cas et conseils pratiques
Nous vous partageons ici des cas pratiques issus de notre collaboration avec des clients ainsi que quelques conseils utiles.
Nous avons eu à recommander à certains de nos de clients pour des raisons de structuration et de sécurité de :
– Définir un Responsable des données pour le client X qui devra faire les déclarations à la CNIL en indiquant les dispositions de mise en œuvre pour le respect du GDPR et en informer la CNIL en cas de fuite de données.
– Définir un sous-traitant et définir l’hébergeur choisi par le sous-traitant qui devra être une Datacenter sur le sol français disposant de l’agrément HDS (Hébergeur de Données de Santé)
– Designer un DPO (Data Protection Officier) pour le client X
– Définir exhaustivement les données personnelles et les données sensibles (nom, prénoms, adresse, téléphone…) : Ici il a été proposé au client X de chiffrer ces informations avant la sauvegarde dans la base de données une fois collectées depuis le mobile ou le web. Ils pourront cependant apparaitre en clair dans certains rapports générés par les applications (à définir) ou sur demande explicite et temporaire dans l’application (utilisateur ayant un droit ADMIN, cette demande de déchiffrement sera tracée pour audit)
– Définir le recueil de consentement : il faudra définir comment et où ce recueil est fait
– Garantir le droit à l’information, l’accès, la modification, la suppression des données avec une mise en place de procédures permettant aux enquêtés d’avoir accès à leurs données, de modifier ou supprimer celles-ci (email, numéro de téléphone, formulaire sur site web)
– Définir les procédures de Sécurité & d’accès aux données : Toutes les applications seront uniquement accessibles via VPN.
– Identifier /corriger ou limiter les points à risques pour le client Y : Les tablettes constituent en effet des éléments à risque en termes de fuite de données (cas de vol / perte). Leur re paramétrage a été proposé par notre équipe pour tout d’abord exiger un code PIN Complexe (Alpha Numérique) et ensuite être chiffrées par défaut (y compris la carte mémoire si présente). Cette possibilité technique dépend de la version de l’OS Android et du modèle choisi.
Restez informé ! Abonnez-vous pour recevoir nos prochains articles
“Nous rendons votre travail beaucoup plus facile”
Besoin des conseils d’un expert ?
Nous vous accompagnons dans la réalisation de votre transformation digitale à la fois sur les aspects techniques (données personnelles, hébergement, sécurité) mais aussi juridiques (CNIL, RGPD...) et humain (écouter, rassurer et former vos équipes)
Contact
contact@cloudlyyours.com
Zone d’activités, 6 Rue du Dr Albert Schweitzer,
91420, Morangis, France
© Copyright 2021 - Cloudly Yours - Tous droits réservés