Le règlement européen sur la protection des données personnelles (RGPD/GDPR), trois ans plus tard : où en est-on ?

La CNIL avait accordé aux entreprises une période transitoire de trois années, période durant laquelle elles étaient dispensées de l'obligation de réaliser des Analyses d'Impact sur la Protection des Données (AIPD/PIA). Cette période prendra fin le 25 mai 2021.

Entré en vigueur le 25 mai 2018, le règlement européen sur la protection des données personnelles (Règlement (UE) n°2016/679) a fourni un cadre à la protection des données à caractère personnel sur l’ensemble du territoire de l’Union européenne. Ce même cadre est supporté par le législateur et les autorités de contrôle locales dans chaque Etat-Membre. En France, ce règlement a été complété localement par la loi relative à la protection des données personnelles du 20 juin 2018 et il est contrôlé par la CNIL, autorité de contrôle de référence sur notre territoire.

Afin de favoriser une mise en place progressive et le moins anxiogène possible de ces nouvelles normes, la CNIL avait accordé une période transitoire de trois années, période durant laquelle les entreprises étaient dispensées de l’obligation de réaliser des Analyses d’Impact sur la Protection des Données (AIPD/PIA).

La CNIL définit les AIPD comme des « études qui doivent être menées lorsqu'un traitement de données personnelles est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées ». La réalisation de ce type d’étude représente un travail important de fond et une analyse, tant légale que technique et opérationnelle, d’un traitement de données.

Le délai transitoire qui avait permis jusqu’ici de se s’en dispenser prendra fin le 25 mai 2021.

A partir de cette date il sera obligatoire pour les entreprises d’avoir mené des AIPD pour chaque traitement de données personnelles à risque élevé pour les droits et libertés des personnes concernées. La CNIL prendra dorénavant en compte cet élément dans le cadre de ses contrôle RGPD. Elle est d’ailleurs l’une des autorités locales moteur en termes de RGPD et une des plus actives en Europe avec notamment plus de 300 contrôles opérés en 2019. La CNIL n’hésite par ailleurs pas à imposer des sanctions : à fin 2019, sur les 31 entités sanctionnées pour manquement au RGPD, 16 l’avaient été en France.

A quoi doit-on s’attendre une fois passée la date du 25 mai 2021 ?

On peut donc s’attendre légitimement pour la seconde moitié de 2021 à une à une nouvelle vague de contrôles afin que la CNIL s’assure de la réelle tenue d’AIPD par les entreprises et de marquer la fin de la période transitoire.

Bon nombre d’entreprises et de délégués à la protection des données ont jusqu’ici évité ou limité leur usage des AIPD pour la simple raison que ce sont des analyses fastidieuses, complexes et qui nécessitent d’impliquer plusieurs départements en interne. A date il n’est pas rare de voir des AIPD encore en cours de réalisation alors que l’échéance est au 25 mai, autant dire pour demain !

Comment identifier les traitements nécessitant une AIPD ?

La détermination des traitements nécessitant la réalisation d’une AIPD peut paraitre obscure au regard des textes légaux.

La méthode préconisée par la CNIL pour faire cette étude (explicitée et résumée ci-dessous) permet de mieux appréhender ce sujet.

Ainsi, la CNIL estime qu’une AIPD doit obligatoirement être menée quand :

1 - un traitement de données personnelles figure dans la liste des types d’opérations de traitement déterminées par la CNIL et pour lesquelles elle estime obligatoire de réaliser une analyse d’impact relative à la protection des données.

2 – ou qu’un traitement remplit au moins deux des neuf critères issus des lignes directrices du G29 :

·       évaluation/scoring (y compris le profilage) ;

·       décision automatique avec effet légal ou similaire ;

·       surveillance systématique ;

·       collecte de données sensibles ou données à caractère hautement personnel ;

·       collecte de données personnelles à large échelle ;

·       croisement de données ;

·       personnes vulnérables (patients, personnes âgées, enfants, etc.) ;

·       usage innovant (utilisation d’une nouvelle technologie) ;

·       exclusion du bénéfice d’un droit/contrat.

Quelle méthode utiliser pour mener à bien cette étude ?

A nouveau, la CNIL nous fournit les éléments de réponses nécessaires.

Une AIPD contient quatre parties :

·       une description détaillée des opérations de traitement mises en œuvre (incluant notamment leurs aspects techniques et opérationnels) et des finalités du traitement;

·       une évaluation, de nature plus juridique, de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités ;

·       une étude (de nature technique et opérationnelle) des risques sur les droits et libertés des personnes concernées ; et

·       les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du règlement.

La nature multidisciplinaire de cette analyse amène à un constat : si les départements juridiques se sont globalement vu attribuer la responsabilité de la conformité au RGPD, ils ne peuvent en être les seuls acteurs. Il est nécessaire que les départements juridiques soient appuyés par les autres départements de l’entreprise afin de mener à bien ces AIPD qui imposent de disposer d’expertises juridiques et techniques (Data et sécurité notamment).

Après une période de relative clémence, la CNIL considère dorénavant le RGPD comme un acquis. Le 25 mai sonne le glas de la période transitoire dont les divers acteurs du monde de l’entreprise disposaient pour l’implémenter. Ceci met en exergue les risques réels que courent, passé ce délai, ces acteurs à ne pas se conformer au règlement européen sur la protection des données personnelles.