Le 28 février dernier, la Commission de la Protection de la Vie Privée (Commission Vie Privée), qui sera rebaptisée en Autorité de Protection des Données le 25 mai 2018, a interprété la nouvelle obligation, imposée par l’article 35 du GDPR, de réaliser une « analyse d’impact relative à la protection des données » (« AIPD »). Le but de cette recommandation consiste à établir une liste des cas dans lesquels une AIPD est obligatoire.
Qu’est-ce qu’une AIPD ?
L’AIPD, également dénommée DPIA selon sa dénomination anglaise(“data protection impact assessment”), est un processus, qui a pour objet de décrire systématiquement le traitement des données à caractère personnel, d’en évaluer la nécessité et la proportionnalité et d’aider à gérer les risques relatifs aux droits et libertés des personnes physiques qui y sont liés, en déterminant les mesures nécessaires envisagées pour faire face à ces risques. Ce processus permet au responsable du traitement de prouver qu’il respecte les principes et obligations imposés par le GDPR, en particulier en ce qui concerne l’obligation de prendre des mesures appropriées pour gérer les risques qui sont liés au traitement de données à caractère personnel.
Quand faut-il faire une AIPD ?
L’AIPD n’est pas obligatoire pour chaque traitement de données à caractère personnel, uniquement lorsque le traitement est susceptible d’engendrer un risque élevé pour les personnes concernées. Par ailleurs, la Commission Vie Privée a précisé qu’une AIPD n’était obligatoire que pour les nouveaux processus, mais qu’il était également recommandé de le faire pour ceux en cours ayant un risque manifestement élevé. La Commission Vie Privée liste, dans sa recommandation, trois cas dans lesquels cette analyse des risques particulière doit être réalisée :
1. Lorsque le traitement est susceptible d’engendrer un « risque élevé » pour les droits et libertés
Le GDPR ne donne aucune définition de cette notion de « risque élevé ». Selon la Commission Vie Privée , il s’agit d’un traitement de données à caractère personnel qui est ou pourra être susceptible d’avoir des incidences négatives sensibles pour les libertés et droits fondamentaux des personnes physiques. Il n’est donc pas requis que ces droits et libertés soient effectivement affectés, une simple probabilité suffit.
L’article 29 - Groupe de travail (« G29 ») , l’organe européen général des autorités de contrôle, a ainsi élaboré neuf critères, à prendre en compte par les responsables du traitement pour apprécier s’il s’agit d’un traitement ayant un risque manifestement élevé ou non. Ces neuf critères sont les suivants :
Evaluation et notation (en ce compris le profilage et la prédiction) | Traitement de données sensibles ou à caractère hautement personnel |
Données concernant des personnes vulnérables (par exemple les enfants, les personnes âgées, mais aussi les travailleurs ...) |
Prise de décision automatisée avec effet juridique ou effet similaire significatif | Traitement de données à caractère personnel à grande échelle (sur base du nombre de personnes, volume de données, durée ou permanence de l’activité ou étendue géographique de l’activité) | Utilisation ou application innovante de nouvelles solutions technologiques ou organisationnelles |
Surveillance systématique | Croisement ou combinaison d’ensembles de données |
Lorsqu’en raison du traitement, les personnes concernées ne peuvent pas exercer un droit ou bénéficier d’un service ou d’un contrat |
La Commission Vie Privée indique, dans la lignée du G29, que dès qu’un traitement répond à au moins deux des 9 critères, une AIPD devra être réalisée. Le G29 considère quant à lui que plus le nombre de critères remplis est élevé, plus il est probable qu’il s’agisse d’un « risque élevé » requérant la réalisation d’une AIPD, et ce quelles que soient les mesures que le responsable à l’intention de prendre en vue de limiter les risques.
Si le responsable estime que, malgré qu’au moins deux critères soient remplis, il ne s’agit pas d’un traitement susceptible d’engendrer un risque élevé, il devra motiver et documenter les motifs de sa décision de ne pas réaliser d’AIPD.
A première vue, il peut être déduit de cette recommandation que le département RH d’une grande entreprise ayant de nombreux membres du personnel devrait effectuer des AIPD pour de nombreux processus concernant un grand nombre de travailleurs.
2. Les traitements mentionnés à l’article 35(3) du RGPD
Dans trois situations, une AIPD est toujours requise :
- en cas d’évaluation systématique et approfondie d’aspects personnels, fondée sur un traitement automatisé (même partiel), et sur base de laquelle des décisions produisant des effets juridiques à l’égard des personnes ou les affectant de manière significative sont prises ;
- en cas de traitement à grande échelle de catégories particulières de données à caractère personnel, visées à l’article 9§1 du GDPR (origine raciale ou ethnique, opinions politiques,...) ou relatives à des condamnations pénales et infractions ;
- en cas de surveillance systématique à grande échelle (cf. supra) d’une zone accessible au public.
La Commission Vie Privée vise principalement les systèmes d’information hospitaliers et de recherche génétique et la vidéosurveillance.
3. Les listes de l’autorité de contrôle
Chaque autorité de contrôle est tenue d’établir et de publier une liste de types d’opérations de traitement pour lesquelles elle estime qu’une AIPD est obligatoire. De même, chaque autorité peut facultativement décider d’établir et de publier une liste de types d’opérations pour lesquelles aucune AIPD ne doit être établie.
L’existence de ces listes, qui ne sont pas exhaustives, n’influence toutefois en rien l’obligation de gestion des risques qui incombe au responsable du traitement.
La Commission Vie Privée a maintenant publié son projet de listes.
Quand ne faut-il pas réaliser d’AIPD ?
Dans son projet de liste des types d’opérations de traitement pour lesquelles aucune AIPD n’est requise, sans préjudice de l’obligation générale du responsable du traitement de procéder à une bonne appréciation du risque et à une bonne gestion des risques (cf. supra), la Commission Vie Privée a en outre également clarifié qu’il n’existe pas d’obligation de réaliser une AIPD lorsque le traitement envisagé :
- est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;
- est nécessaire à l’exécution d’une mission d’intérêt public ou qui relève de l’exercice de l’autorité publique dont est investi le responsable du traitement ;
- concerne uniquement les données qui sont nécessaires à l'administration des salaires de personnes en service ou actives pour le compte du responsable du traitement ;
- concerne exclusivement l'administration du personnel en service ou actif pour le compte du responsable du traitement ;
- concerne exclusivement la comptabilité du responsable du traitement lorsque les données sont exclusivement utilisées pour cette comptabilité ;
- concerne exclusivement l'administration des actionnaires et associés lorsque le traitement porte uniquement sur des données nécessaires à cette administration ;
- est effectué par une fondation, association ou toute autre institution sans but lucratif dans le cadre de ses activités habituelles ;
- concerne exclusivement l'enregistrement de visiteurs dans le cadre d'un contrôle d'accès;
- est effectué par des établissements d'enseignement en vue de la gestion de leurs relations avec leurs élèves ou étudiants dans le cadre de leurs missions d'enseignement ;
- concerne exclusivement la gestion de la clientèle ou des fournisseurs du responsable du traitement.
Certaines conditions spécifiques doivent toutefois être remplies pour chacune de ces « exclusions ».
- Point d’action
Chaque responsable de traitement doit veiller à réaliser préalablement une AIPD avant de procéder au traitement pour lequel une telle analyse est obligatoire, et de préférence le plus tôt possible pendant la phase de développement. En outre, une AIPD sera également exigée sur base régulière pour les processus en cours ayant un risque manifestement élevé.