Données personnelles et RGPD : le casse-tête de l'analyse d'impact

Dans le cadre du nouveau règlement général sur la protection des données (RGPD) un des éléments du dispositif le plus novateur, par rapport à notre actuelle législation, est l'analyse d'impact.

En peu de mots, il appartient au responsable d'un traitement de données personnelles (un chef d'entreprise par exemple) de réaliser lui-même (ou de faire réaliser sous sa responsabilité), avant toute mise en œuvre de ce traitement, une "analyse d'impact", au moins dans les cas où celui-ci "est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques" (article 35 du RGPD).

C'est bien sur ce point qu'est la grande différence avec la législation actuelle : dans le cadre de l'actuelle loi Informatique, fichiers et libertés, il appartenait principalement à la Cnil d'évaluer l'impact. Le nouveau règlement fait peser cette responsabilité directement sur le "responsable du traitement des données".

Les choses ne sont pas simples puisqu'en outre, il doit obligatoirement y avoir analyse d'impact lorsqu'il y a "risque élevé pour les droits et libertés des personnes physiques". La grande question sera donc de déterminer la frontière entre risque élevé et risque mineur.

C'est dans le but de guider les organismes publics ou privés que la Cnil tente peu à peu de proposer des aides et conseils.
Le G29 ayant publié des lignes directrices concernant cette DPIA (Data Protection Impact Assessment ou Analyse d’impact relative à la protection des données), mais en anglais.

La Cnil a donc mis en ligne, le 18 octobre dernier, une infographie synthétisant la démarche et la méthode d'une analyse d'impact.

Elle a également mis en ligne, le même jour une Foire aux questions (FAQ) qui donne déjà de nombreuses pistes dont voici les questions :

  1. Qu’est-ce qu’une analyse d’impact relative à la protection des données (DPIA) ?
  2. Qu’est-ce qu’un risque sur la vie privée ?
  3. Une analyse d’impact peut-elle porter sur un ou plusieurs traitements ?
  4. Quand est-ce qu’une analyse d’impact n’est pas obligatoire ?
  5. Quand est-ce qu’une analyse d’impact est obligatoire ?
  6. À quel moment faut-il mener une analyse d‘impact ?
  7. Qui intervient dans la réalisation d’une analyse d’impact ?
  8. Comment fait-on une analyse d‘impact, existe-t-il une méthode pour faire une analyse d’impact?
  9. Faut-il publier ou communiquer l’analyse d’impact ?
  10. Quand faut-il transmettre son analyse d’impact à la CNIL ?
  11. Quel est le montant des sanctions prévues par le règlement en cas de manquements aux dispositions relatives aux analyses d’impact ?

La Cnil annonce en outre "De nouveaux "guides PIA" et un logiciel libre". Elle prévoit également de publier "un cadre pour mener des DPIA sur des objets connectés et une étude de cas d'ici la fin d'année".

En savoir plus

Le communiqué et l'infographie :
https://www.cnil.fr/fr/lignes-directrices-du-g29-sur-les-dpia

La FAQ :
https://www.cnil.fr/fr/lanalyse-dimpact-relative-la-protection-des-donnees-dpia

Didier FROCHOT