Bonne pratique, RGPD en Europe, RGPD en France

Analyse d’impact

Il est nécessaire de réaliser une analyse d’impact ou un PIA (Privacy Impact Assessment) sur la protection des données à caractère personnel lorsqu’un traitement de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées (article 35 du RGPD)

L’ objectif de cette analyse d’impact est de déterminer les risques et les actions à mettre en place pour y remédier. 

 

En cas de manquement à cette obligation, le montant des amendes peut s’élever jusqu’à 10 000 000 euros ou jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. 

 

Dans quel cas il est nécessaire de réaliser une analyse d’impact ?

Le RGPD, dans son article 35 prévoit plusieurs situations où il est indispensable de réaliser une analyse d’impact – PIA.:

  • « L’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire 
  • Le traitement à grande échelle de catégories particulières de données visées à l’article 9, paragraphe 1 [données dites « sensibles »], ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10 
  • La surveillance systématique à grande échelle d’une zone accessible au public ».

Par ailleurs, la CNIL a établi la liste des traitements de données personnelles où une analyse d’impact est obligatoire et la liste des traitements ne nécessitant pas d’analyse d’impact.

Une analyse d’impact, un PIA, est donc obligatoire, si le traitement figure dans la liste des traitements fixée par la CNIL ou si il remplit au moins 2 des 9 critères suivants :

  • Evaluation/scoring (y compris le profilage)” 
  • Décision automatique avec effet légal ou similaire” 
  • Surveillance systématique” 
  • Collecte de données sensibles ou données à caractère hautement personnel” 
  • Collecte de données personnelles à large échelle” 
  • Croisement de données” 
  • Personnes vulnérables (patients, personnes âgées, enfants, etc.)” 
  • Usage innovant (utilisation d’une nouvelle technologie)” 
  • Exclusion du bénéfice d’un droit/contrat.”

 

Qu’est-ce qu’une analyse d’impact ?

En application de l’article 35 du RGPD, l’analyse d’impact, un PIA,  doit contenir au moins :

  • « Une description systématique des opérations de traitement envisagées et des finalités du traitement, y compris, le cas échéant, l’intérêt légitime poursuivi par le responsable de traitement 
  • Une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités 
  • Une évaluation des risques pour les droits et libertés des personnes concernées (…) 
  • Les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du présent règlement, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes affectées ».

Une seule analyse d’impact, un PIA, suffit en cas de plusieurs traitements similaires, présentant les mêmes risques sont réalisés par une même entité.

 


Source : https://www.cnil.fr/fr/analyse-dimpact-relative-la-protection-des-donnees-publication-dune-liste-des-traitements-pour

https://www.cnil.fr/fr/liste-traitements-aipd-non-requise

https://www.cnil.fr/fr/ce-quil-faut-savoir-sur-lanalyse-dimpact-relative-la-protection-des-donnees-aipd

 

 

Auteur


Avatar