DPIA : quand et comment réaliser une analyse d'impact sur la protection des données

De e-glop

Aujourd'hui niveau #RGPD, il me semble que beaucoup de responsables de traitement (RT) sous-estiment les critères déclenchant la nécessité de réaliser une analyse d'impact sur la protection des données (RGPD art.35). Bien souvent, quand un RT décide de mener une #DPIA simple (RGPD art.35), il devrait sans doute l'avoir déjà faite et maintenant procéder à la consultation préalable de son autorité de contrôle (ex: la #CNIL en France ; RGPD art.36). Je vous propose donc de rendre compte ici de l'état des connaissances à ce sujet :

DPIA.png

Quel est le rôle de chacun ?

Le Responsable de Traitement (RT) est le seul responsable de la décision de suspendre ou non un traitement.

Le Délégué à la Protection des Données (DPO) est impliqué dans le processus de DPIA et donne son avis au RT dans le but d'éclairer sa décision.

Les personnes concernées (PC) peuvent être impliquées dans le processus de DPIA également, et leur avis peut être requeilli par le RT pour prendre sa décision.

L'autorité de contrôle (CNIL) peut être consultée par le RT relativement à la DPIA réalisée si ce dernier en estime le besoin.

Quand réaliser une DPIA ?

Si votre traitement n'apparaît pas dans la liste des traitements exemptés de DPIA (https://www.cnil.fr/sites/default/files/atoms/files/liste-traitements-aipd-non-requise.pdf), voici les critères déclenchant la nécessité de réaliser une DPIA (CEPD, wp248 rev01 III.B.a) :

  1. Lorsque le traitement visé apparaît dans la liste des traitements nécessitant une DPIA publiée par la CNIL (https://www.cnil.fr/sites/default/files/atoms/files/liste-traitements-avec-aipd-requise-v2.pdf) ;
  2. Lorsqu'un type de traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, autrement dit de prime abord, au jugement du RT ;
  3. Quand le traitement concerné peut entrer dans l'un des cas suivants : l'évaluation systématique et approfondie d'aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l'égard d'une personne physique ou l'affectant de manière significative de façon similaire ; le traitement à grande échelle de données sensibles (RGPD art.9) ou de données relatives à des condamnations pénales et à des infractions (RGPD art.10) ; ou la surveillance systématique à grande échelle d'une zone accessible au public ;
  4. Quand au moins 2 des 9 critères suivants sont satisfaits : évaluation ou notation ; prise de décisions automatisée avec effet juridique ou effet similaire significatif ; surveillance systématique ; données sensibles ou données à caractère hautement personnel ; données traitées à grande échelle ; combinaison ou croisement de données ; données concernant des personnes vulnérables ; utilisation innovante ou application de nouvelles solutions technologiques ou organisationnelles ; traitements incluant notamment les opérations visant à autoriser, modifier ou refuser l’accès à un service ou la conclusion d’un contrat.

Quand consulter l'autorité de contrôle ?

En cas de risque résiduel élevé pour les droits et libertés des PC, le RT doit consulter l'autorité de contrôle (CNIL) préalablement au traitement, autorité qui donnera un avis au RT et pourra éventuellement interdire le traitement réglementairement.

Pour déterminer ce qu'est un risque "résiduel élevé", le RT pourra se doter de règles d'appréciation des risques sur les droits et libertés des personnes incluant un critère d'acceptation du risque. Si ce critère d'acceptation n'est pas satisfait, alors une consultation de la CNIL est nécessaire.

Quels sont les critères d'acceptabilité d'une DPIA ?

Toute méthode est acceptable pour réaliser une DPIA. La CNIL a publié en 2015 un guide (https://www.cnil.fr/fr/etude-dimpacts-sur-la-vie-privee-suivez-la-methode-de-la-cnil) et un logiciel basés sur l'ISO29134. Personnellement je vous suggère de suivre l'ISO/IEC 29134:2017 qui est claire et donne des critères relativement objectifs d'appréciation des impacts sur la vie privée.

Une fois votre méthode choisie, le rapport de DPIA devra nécessairement démontrer que votre démarche satisfait aux exigences indiquées à l'annexe 2 du document CEPD wp248 rev01. Parmi ces exigences, il est courant d'omettre la fourniture de certaines preuves, par méconnaissance ou mauvaise compréhension. Voici celles que je retiens dans ce cadre :

  1. Le contenu de la (ou les) fiche de traitement de DCP sur lesquelles portent la DPIA
  2. Les mesures protectrices des droits RGPD des personnes (RGPD Chapitre III), en particulier quant aux transferts internationaux (RGPD Chapitre V) et aux sous-traitants (RGPD art.28)
  3. L'analyse du risque sur les droits et libertés des personnes (RGPD art.35.7)
  4. L'avis du DPO est recueilli (RGPD art.35.2)
  5. Quand cela est approprié, le point de vue des personnes concernées (ou de leurs représentants) est reccueilli (RGPD. art.35.9)

Annexes

Dpia-cnil.jpeg