Article publié dans l’hebdomadaire La Gazette des communes du 5 mars 2018
Approche fondée sur les risques : Le RGPD impose l’évaluation des risques liés à chaque traitement de données à caractère personnel.
Principe d’accountability : Les collectivités doivent pouvoir démontrer à tout instant, via un dossier documentaire, qu’elles respectent1 le RGPD.
Analyse d’impact : L’analyse d’impact constitue à la fois un outil d’évaluation du risque, de mise en conformité et un élément du dossier documentaire.
1 – S’appuyer sur le Registre des Traitements
Le RGPD prévoit que l’éventuelle analyse d’impact d’un traitement de données doit en principe avoir lieu avant la première mise en œuvre de ce dernier et/ou dès lors que les risques qui y sont associés le justifient (aggravation ou modification).
S’agissant cependant des traitements institués avant l’entrée en vigueur du Règlement une mise en conformité s’impose, qui implique d’abord pour les collectivités d’identifier les traitements dont elles sont responsables devant obligatoirement faire l’objet d’une analyse d’impact avant le 25 mai 2018.
Ce processus sera engagé après la désignation du Délégué à la protection des données (DPD)2, qui sera à la manœuvre, et l’établissement du Registre des Traitements de la collectivité3, qui servira de référentiel. Il importe de soigner l’élaboration de ce document, en y faisant figurer, au-delà des mentions impératives (finalités, catégories de personnes concernées et de données personnelles, destinataires, etc…) d’autres indications permettant de faciliter une pré-analyse des risques, telles la durée de conservation, les mesures de sécurité (pseudonymisation, chiffrement, logiciels de protection, accès restreint avec mot de passe, etc…), le fait que les données en cause constituent ou non des données sensibles4 (ex : origines raciales ou ethniques, opinions politiques, données relatives à l’aide sociale…).
De sorte qu’à la seule lecture de ce document il sera déjà possible de déceler les indices d’un « risque élevé » pour les droits et libertés des personnes physiques, imposant l’établissement d’une analyse d’impact.
A noter : La CNIL a mis en ligne un logiciel libre facilitant la conduite et la formalisation des AIPD ; les guides afférents devraient bientôt être mis à jour.
2 – Connaître les critères faisant présumer un risque élevé
Une AIPD n’est requise que lorsque le traitement de données, compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un « risque élevé pour les droits et libertés des personnes physiques ». Cette condition, imprécise, rend complexe l’identification des traitements nécessitant une analyse d’impact5.
Les lignes directrices du G29 recommandent de considérer qu’une analyse d’impact est requise lorsqu’une opération de traitement réunira au moins deux des neufs critères suivants : évaluation ou notation, y compris les activités de profilage et de prédiction6(1), prise de décisions automatisée avec effet juridique ou effet similaire significatif (2), traitement utilisé pour observer, surveiller ou contrôler les personnes concernées, y compris la collecte de données via des réseaux ou par la surveillance systématique d’une zone accessible au public (3), données sensibles et données à caractère personnel relatives aux condamnations pénales (4), données traitées à grande échelle (5), croisement ou combinaison d’ensembles de données7 (6), données concernant des personnes vulnérables (7), utilisation innovante ou application de nouvelles solutions technologiques ou organisationnelles (8), et traitements en eux-mêmes qui empêchent les personnes concernées d’exercer un droit ou de bénéficier d’un service ou d’un contrat (9).
A titre d’illustration, on peut présumer que l’utilisation d’un système d’analyse vidéo intelligente pour reconnaitre automatiquement les plaques d’immatriculation des voitures mal stationnées, en tant qu’il combine surveillance systématique et utilisation innovante de solutions technologiques, doit faire l’objet d’une analyse d’impact.
3 – Identifier au cas par cas les traitements devant faire l’objet d’une analyse d’impact
Il ne peut cependant être déduit automatiquement de la seule présence, ou au contraire de l’absence, de deux des critères précités que le traitement en cause est susceptible ou non d’engendrer un risque élevé au sens du RGPD.
Il incombe au responsable du traitement de vérifier au surplus in concreto qu’il est vraisemblable que l’opération de traitement étudiée puisse avoir des conséquences néfastes considérables pour les libertés et droits fondamentaux des personnes
physiques si ne sont pas prévues les mesures de protection adéquates. Pour ce faire, il pourra notamment se référer aux dommages énumérés au considérant (75) du RGPD8 9.
S’il parvient à la conclusion qu’une opération de traitement correspond à au moins deux des critères susmentionnés et est néanmoins non «susceptible d’engendrer un risque élevé», ou qu’elle ne correspond, au contraire qu’à un des critères mais est «susceptible d’engendrer un risque élevé», il convient que le responsable du traitement explique et documente les motifs de sa décision de ne pas procéder ou de procéder à une AIPD, en incluant par ailleurs l’opinion à cet égard du délégué à la protection des données.
En cas de doute quant à la nécessité d’effectuer une AIPD il est, enfin, recommandé de ne pas s’abstenir.
4 – Procéder à l’analyse d’impact en s’appuyant sur le DPD
La responsabilité de l’AIPD incombe au responsable du traitement, même si elle est réalisée par un de ses agents, ou un sous-traitant. Le DPD devant obligatoirement être consulté, il peut être pertinent de le placer au centre du dispositif. Si le traitement est entièrement ou partiellement effectué par un sous-traitant, ce dernier doit aider le responsable du traitement à effectuer l’AIPD et fournir toutes les informations nécessaires.
Une seule et même AIPD peut être utilisée pour évaluer plusieurs opérations de traitement similaires en termes de nature, de portée, de contexte, de finalités et de risques10 (Ex : un groupe d’autorités municipales mettant chacune en place un système similaire de vidéo-surveillance avec reconnaissance faciale). Le G29 envisage également l’établissement d’AIPD de référence, partagées ou rendues publiquement accessibles, les mesures décrites dans l’AIPD devant être mises en œuvre et une justification de la réalisation d’une AIPD unique devant être fournie.
Le contenu minimal de l’analyse est le suivant : une description systématique des opérations de traitement envisagées et des finalités du traitement, y compris, le cas échéant, l’intérêt légitime poursuivi par le responsable du traitement; une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités; une évaluation des risques pour les droits et libertés des personnes concernées; et les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du RGPD, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes affectées.
Aucune méthodologie n’est en revanche imposée: il peut s’agir d’un cadre sur mesure pour le responsable du traitement ou commun à un secteur particulier ou encore du cadre générique proposé par la CNIL.
5 – Tirer les conclusions de l’analyse d’impact
Selon que l’analyse d’impact conclura à l’existence d’un risque « simple » ou d’un risque « élevé », la collectivité devra, respectivement, déterminer et consigner les mesures appropriées à prendre afin de démontrer que le traitement des données à caractère personnel respecte le RGPD, ou consulter préalablement la CNIL11.
Dans ce dernier cas, on retrouve alors à grands traits le régime d’autorisation de la CNIL tel qu’il existe pour certains types de traitements jugés à haut risque dans notre actuelle loi Informatique, fichiers et libertés.12 Tant qu’elle considère que le traitement constitue une violation du RGPD, la CNIL peut notamment empêcher sa mise en œuvre.
Une fois le traitement mis en œuvre, il ne faut pas perdre de vue qu’en raison de l’obligation d’évaluation constante des risques qui pèse sur la collectivité, une nouvelle analyse d’impact peut être nécessaire en cas de changement
Yvon GOUTAL – avocat associé
Elisa CORAZZA – avocat directeur
