Analyse de l'impact de la protection des données (AIPD) dans le RGPD

En vertu de l'article 35 RGPD, lorsqu'un type de traitement est susceptible d'engendrer un risque élevé pour les droits et libertés de personnes physiques, le responsable du traitement doit effectuer une AIPD. L'AIPD consiste à analyser le traitement à la lumière du RGPD. Une AIPD doit être effectuée et clôturée avant traitement.

Le RGPD énumère un certain nombre de critères permettant de déterminer si un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés de personnes physiques :

le traitement prépare une évaluation ou une notation;

le traitement est fondé sur une décision automatisée qui a des conséquences juridiques ou similaires;

le traitement consiste en une surveillance systématique;

le traitement porte sur des données sensibles;

les données sont traitées à grande échelle;

les données de plusieurs traitements sont croisées ou combinées d?une manière qui outrepasse les attentes raisonnables des personnes concernées;

il s?agit des données de personnes vulnérables (employés, enfants, demandeurs d?asile, personnes handicapées?);

les données sont utilisées de manière innovante;

les données sont transférées en dehors de l?UE;

le traitement empêche la personne concernée d?exercer un droit, de bénéficier d?un service ou d?exécuter un contrat.

On peut partir du principe que si deux des critères précités ou plus sont remplis, le traitement est susceptible d'engendrer un risque élevé. Si un responsable du traitement décide de ne pas procéder à une AIPD, il doit expliquer et documenter les motifs de sa décision.

Une AIPD contient au moins :

une description systématique des opérations de traitement envisagées, notamment de l?intérêt légitime poursuivi par le responsable du traitement;

une évaluation de la nécessité et de la proportionnalité des traitements au regard des finalités;

les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du RGPD. Le responsable du traitement doit tenir compte ici des droits et intérêts légitimes des personnes concernées et de toute autre personne affectée.

Le responsable du traitement peut déléguer l'AIPD à quelqu'un d'autre, mais il en porte la responsabilité. Le DPD veille à l'exécution de l'AIPD. Une AIPD peut être effectuée pour plusieurs traitements similaires.

Tout responsable du traitement qui a l'obligation d'effectuer une AIPD, doit également tenir un registre. Il y consigne les activités de traitement qu'il a effectuées, dont leur description (description des données et des personnes concernées), leur finalité et les mesures de sécurité prises.

L'obligation d'effectuer une AIPD ne s'applique pas aux traitements qui sont déjà en cours avant le 25 mai 2018. Toutefois, si un processus de traitement change radicalement (après le 25 mai 2018), le traitement en question sera tout de même soumis à une obligation AIPD. Tout comme une AIPD devra être actualisée lorsqu'un changement intervient dans les risques qu'engendre le traitement. Une AIPD relèvera donc souvent d'un processus continu.

Lorsqu'un responsable du traitement déduit de l'AIPD qu'il ne pourra pas suffisamment atténuer les risques, il doit consulter l'autorité de contrôle.

La présente communication est un résumé/une traduction d'une recommandation du Groupe de travail «Article 29» sur la protection des données.

Source: Règlement (UE) n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), JO 119, 4 mai 2016