Pour se conformer au RGPD, les entreprises doivent se servir d’outils divers comme l’AIPD ou Analyse d’Impact Relative à la Protection des Données. L’objectif de ce dernier est de responsabiliser les organismes pour pouvoir élaborer des traitements de données qui respectent la vie privée d’une part, mais aussi pour démontrer et assurer la conformité avec le nouveau règlement de l’autre.
Description de l’AIPD
Les analyses d’impact comportent trois parties bien distinctes :
- Une description claire des opérations de traitements avec les aspects techniques
- L’évaluation juridique de l’utilité et de la proportionnalité sur les principes et droits fondamentaux (finalités des traitements, droits des personnes, données biométriques et la durée de conservation) imposés par le Règlement général, qui doivent être respectés coûte que coûte.
- L’étude d’impact technique des risques sur la sécurité des données par rapport à la vie privée des personnes concernées. Cette étude permettra d’identifier les mesures techniques et organisationnelles indispensables pour garantir la protection des données à caractère personnel.
Ce que dit le Règlement Européen sur l’analyse d’impact
Analyser les impacts est obligatoire dans le cas où « les traitements sont susceptibles d’engendrer un risque élevé sur les droits et libertés des personnes physiques concernées ». Aussi, l’analyse des impacts doit être faite dans le cas où le traitement apparaît sur la liste des types d’opérations nécessitant une obligation de procéder à une analyse des risques selon le CNIL.
Dans l’autre cas, l’analyse de l’impact environnemental doit être systématique si le traitement remplit deux des neuf critères des lignes directrices du G29, à savoir le scoring ou l’évaluation, la surveillance systémique, la décision automatique, la collecte de données sensibles ou de données personnelles à large échelle, les personnes vulnérables comme les enfants, l’usage d’une nouvelle technologie, le croisement de données et l’exclusion du bénéfice d’un contrat ou d’un droit.
En revanche, l’évaluation des impacts n’est pas obligatoire si :
- Le traitement apparaît sur la liste des exceptions adoptées par le CNIL
- Le traitement n’est pas susceptible d’engendrer un risque sur la sécurité des données à caractère personnel.
- Les caractéristiques du traitement (contexte, nature, finalité, portée) sont semblables à un traitement pour lequel les analyses ont été conduites.
L’outil d’analyse d’impact : le PIA
Le CNIL a mis en place un outil d’analyse d’impact spécifique pour assurer la mise en conformité avec le RGPD : le PIA ou Privacy Impact Assessment. Ce logiciel est disponible en open source et sous différentes langues, notamment l’anglais et le français. C’est grâce au PIA que le responsable du traitement des données peut soumettre l’évaluation d’impact au DPO ou Délégué à la Protection des Données personnelles. Les outils d’analyse d’impact garantissent donc une meilleure gestion des risques potentiels vis-à-vis des droits et libertés des personnes concernées.
Réalisation de l’analyse d’impact
La réalisation d’une analyse environnementale est conduite par le responsable du traitement. Il est assisté par le DPO dans le cas où l’organisme en a déjà désigné un. De même, le sous-traitant pourra lui fournir des informations essentielles et une assistance pour réaliser l’AIPD, dans le cas où il intervient dans le traitement des données personnelles.
Solliciter les avis des personnes concernées serait également souhaitable pour l’examen au cas par cas. Pour ce faire, le responsable de traitement peut effectuer des sondages et des enquêtes. Enfin, les personnes chargées de la mise en œuvre et des sécurités d’information doivent participer à l’AIPD.
La méthode de réalisation est la suivante :
- Décrire les opérations de traitements et leurs finalités
- Évaluer la nécessité et la proportionnalité de ces opérations vis-à-vis des finalités
- Évaluer les risques et les libertés des personnes
- Décrire les mesures envisagées pour faire face aux risques pour assurer la protection des données à caractère personnel et démontrer la conformité avec le RGPD.
Aucune loi ne stipule que l’AIPD doit être publiée, bien qu’il soit préférable de rédiger un rapport à la fin.