RGPD et Analyse d’impact

L’analyse d’impact : quel en est le but ?

Avant de déterminer le but de l’analyse d’impact, il convient d’en rappeler l’origine. En effet l’analyse d’impact découle de l’article 35 du règlement 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel. Cet article, comme le déclare le RGPD (cf le précédent article relatif au RGPD et à la collecte de données, prévoit la réalisation d’une analyse d’impact sur la protection des données à caractère personnel ( cf notre précédent article sur la protection des données lorsqu’un traitement de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées. Mais quand doit-on parler du risque élevé au quel fait allusion le RGPD ?

Bien qu’une définition claire du « risque élevé » d’après le RGPD manque pour l’instant à l’appel, il existe néanmoins des situations clarifiées par ce dernier dans lesquelles le risque élevé est avéré à savoir : Un accès non autorisé aux données personnelles, une modification non autorisée des données personnelles et enfin une disparition des données personnelles. La clarification de la notion de risque élevé nous emmène à l’énumération des situations exigeant une analyse d’impact.

Selon l’article 35 du RGPD, l’analyse d’impact se trouve être nécessaire dans plusieurs cas. Le premier cas est celui en lien avec « l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire ». Le deuxième cas fait état du « traitement à grande échelle de catégories particulières de données dites sensibles ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10 ». Le troisième cas lui, est en rapport avec « la surveillance systématique à grande échelle d’une zone accessible au public »

Au regard de ce qui a été exposé, il convient de dire que le but d’une analyse d’impact est avant tout de procéder à une évaluation du système de traitement basée sur une analyse comparative avec les principes et droits fondamentaux (finalités, durée de conservation des données, droits des personnes…) mais aussi d’effectuer une étude des risques sur la sécurité des données (abus, accès aux données personnelles, disparition des données…).

Ce qu’il faut retenir : L’analyse d’impact a donc pour objectif principal de permettre aux organes de santé, ONG, associations de s’assurer de la protection effective des données personnelles ; gage du respect des droits et libertés des personnes témoins.

Quels acteurs interviennent dans l’analyse d’impact ?

L’analyse d’impact implique un contenu spécifique qu’il convient d’exposer avant même d’aborder le point sur l’identification des acteurs entrant en ligne de mire.
En rappel à l’article 35 du RGPD, l’analyse d’impact doit mettre en lumière :

·       « Une description systématique des opérations de traitement envisagées et des finalités du traitement, y compris, le cas échéant, l’intérêt légitime poursuivi par le responsable de traitement ;

·         Une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités ;

·         Une évaluation des risques pour les droits et libertés des personnes concernées (…) ; et

·         Les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du présent règlement, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes affectées ».

Le détail du contenu de l’analyse d’impact nous conduit à nous intéresser aux acteurs qui doivent y intervenir. Nous distinguons essentiellement trois acteurs principaux :

En premier lieu le Responsable de traitement de données, qui ici jour un rôle primordial car c’est à lui que revient la tâche de s’assurer de la conformité de l’opération au RGPD.

Ensuite intervient le délégué à la protection des données. Souvent désigné par le Responsable de traitement de données, le délégué lui, a pour rôle de l’assister dans sa tâche et de vérifier l’exécution de l’analyse d’impact. Le Responsable de la sécurité informatique rejoint le délégué à la protection des données par son rôle d’assistance dans son domaine d’expertise. Si éventuellement un sous-traitant intervient dans le traitement des données, il doit impérativement fournir son aide et les informations nécessaires à la réalisation de l’analyse d’impact.

Interviennent enfin, en tant qu’acteurs, les personnes témoins dont les données sont traitées. Ces derniers doivent en effet être interrogés par le Responsable du traitement via des sondages, enquêtes ou questionnaires afin de recueillir leurs avis sur les risques encourus. Si leur avis n’est pas demandé, le Responsable du traitement devra le justifier.

Ce qu’il faut retenir : Chaque acteur a un rôle précis à jouer lorsque l’entité s’inscrit dans une dynamique d’analyse d’impact afin d’en garantir la conformité au RGPD.