Traitement de données personnelles et analyse d'impacts : bientôt tous concernés !

Sont concernés par l'analyse d'impact les traitements susceptibles "d’engendrer un risque élevé pour les droits et libertés des personnes physiques".

Le groupement des autorités de protection des données personnelles (le « G29 »), que préside actuellement la présidente de la CNIL, a rendu, le 4 avril 2017, ses Lignes Directrices sur le champ d’application de la nouvelle obligation – qu’auront tous les organismes à compter du 25 mai 2018 – de réaliser des analyses d’impact, avant la mise en œuvre de certains traitements.

Cette nouvelle obligation est imposée par le Règlement Général sur la protection des Données Personnelles 2016/679 (« RGDP »), qui entrera en application le 25 mai 2018. Une obligation d’autant plus essentielle que, en cas de contrôle de la CNIL qui constaterait qu’une telle analyse d’impact n’a pas été réalisée, l’organisme concerné encourt une amende pouvant aller jusqu’à 10 millions d’euros ou 2 % de son chiffre d’affaires mondial.

Les Lignes Directrices du G29 apportent des éclairages utiles et confirment l’urgence, pour toutes les entreprises, d’adopter une véritable culture « informatique et libertés »

1) Qu’est-ce qu’une « analyse d’impact » ?

Il s’agit d’une analyse que tout organisme, public ou privé, doit réaliser avant de mettre en œuvre un traitement de données à caractère personnel, et qui :

  1. décrit les caractéristiques du traitement ;
  2. identifie les risques que peut impliquer ce traitement pour les personnes concernées, et évalue leur niveau de gravité ;
  3. propose des mesures pour neutraliser ou minorer les risques identifiés.

2) Cette obligation s’applique-t-elle à toutes les entreprises et à tous les types de traitements ? 

Oui, à toutes les entreprises, quelle que soit leur taille. En revanche, seuls sont concernés les traitements susceptibles « d’engendrer un risque élevé pour les droits et libertés des personnes physiques ». Le RGDP ne définit pas précisément ce qu’il faut entendre par « risques élevés ». Toutefois, il donne des exemples.

3) Quels sont ces exemples ?

Le RGDP en donne trois, dont notamment :

  1. « Prise de décision automatisée produisant des effets juridiques ou affectant de manière significative » la personne concernée (il s’agit notamment des traitements pouvant aboutir à des exclusions ou à des discriminations) ;
  2. « Surveillance systématique à grande échelle d’une zone accessible au public » ;

Dans ses Lignes Directrices, le G29 en donne huit autres :

  1. « Traitement à grande échelle de données sensibles » (susceptible de faire apparaître les origines raciales ou ethniques, les opinions politiques, les convictions religieuses, philosophiques ou syndicales, l’état de santé, l’orientation sexuelle).
  2. « Évaluation ou scoring » (par exemple, l’établissement de profils en fonction de la navigation d'utilisateurs sur un site Web) ;
  3. « Traitement à grande échelle » (en corrélation avec la population concernée, le volume de données, la durée ou l’éventuel caractère permanent du traitement) ;
  4. « L’existence de rapprochements ou interconnexions » ;
  5. « Le caractère vulnérable » des personnes concernées (employés, enfants, personnes âgées, malades…) ;
  6. « Caractère innovant des technologies employées » (biométrie par exemple) ;
  7. « Transfert de données en dehors de l’Union européenne » ;
  8. « Traitements susceptibles de priver les personnes d’un droit ou d’un contrat » (par exemple, l’établissement de notes fondant ensuite une décision d’octroi de crédits).

4) Les autorités publieront-elles une liste de traitements types soumis ou dispensés d’une telle obligation ?

Oui, ces deux listes sont prévues.

Selon le G29, les traitements dispensés d’analyse d’impact, au titre de cette liste, devraient être soumis à des conditions strictes de mise en œuvre qui, à l’image des actuelles normes simplifiées édictées par la CNIL, si elles ne sont pas respectées, l’organisme perdra le bénéfice de la dispense.

5) Le règlement communautaire indique qu’il est nécessaire de « demander l’avis » des personnes concernées : est-ce une obligation ?

Lorsqu’il effectue une analyse d’impact, le responsable de traitement, d’une part, doit demander « conseil » au délégué à la protection des données (si celui-ci existe) et, d’autre part, peut demander « l’avis des personnes concernées ou de leurs représentants ».

Selon le G29, si cette consultation des personnes concernées constitue une simple faculté, le responsable de traitement doit conserver une trace documentaire du motif l’ayant conduit à s’en dispenser. S’il décide de mener une telle consultation, celle-ci peut prendre la forme de sondages auprès d’un échantillon représentatif de personnes. Enfin, si le responsable de traitement est libre de ne pas se soumettre à l’avis des personnes concernées, le G29 considère qu’il devra justifier d’un motif et en conserver une trace documentaire. 

6) Les traitements mis en œuvre avant le 25 mai 2018 sont-ils concernés par cette nouvelle obligation ?

En principe « non », en vertu du principe de non-rétroactivité, sauf si de tels traitements subissent des évolutions postérieures à cette date.

Si le G29 recommande néanmoins de le faire, c’est avant tout pour inciter les responsables de traitement à réaliser un exercice d’autodiagnostic sur la conformité de leurs traitements en vérifiant, à cette occasion, la licéité ainsi que l’adéquation des mesures de sécurité aux risques identifiés, en particulier en tenant compte des éventuelles évolutions du traitement qui peuvent avoir accru les risques depuis leur création. Le G29 insiste particulièrement sur le caractère vivant d’une analyse d’impact : la recommandation est de mettre à jour ce document régulièrement, et a minima tous les trois ans.

Cnil / Décider