Une des nouveautés absolues du Règlement général sur la protection des données, qui entre pleinement en vigueur le 25 mai 2018, ce sont les fameuses études d'impact placées sous l'entière responsabilité des responsables des traitements de données personnelles, autrement dit les chefs d'entreprises, présidents d'associations et autres dirigeants de structures publiques.
Ainsi que nous l'avions déjà souligné récemment (notre actualité du 9 juin), aux lieux et place d'un régime encadré et surveillé par une autorité centrale telle que la Cnil, chargée de recueillir les déclarations normales, simplifiées, ou encore conformes à des autorisations uniques, les modalités déclaratives n'auront plus cours et le responsable des traitements sera livré à lui-même pour être en conformité avec la loi et répondre de cette conformité à toute demande d'une personne dont les données sont traitées sous sa responsabilité.
Compte tenu de l'ignorance déjà grande à l'égard de la loi actuelle, on peut craindre que ces nouvelles dispositions soient largement "zappées" et que les réveils soient parfois douloureux, en cas de contrôle ou de plainte.
Le RGPD, une copie presque conforme de la loi actuelle…
Une grande partie du nouveau Règlement n'est qu'une reprise de la directive de 1995 et par conséquent des lois ayant transposé cette directive dans les États membres, sous réserve des distorsions autorisées d'un pays à l'autre dans le cadre d'une directive. On n'est donc pas dépaysés, à ceci près que le RGPD apporte parfois des précisions ou de menues divergences qu'il faudra bien repérer pour s'y conformer.
… Ajoutant cependant des dispositions nouvelles
Malgré cette continuité assez logique (nul besoin d'un régime de protection des données totalement nouveau) il est des dispositions relativement nouvelles, permettant de prendre en compte l'expérience et la jurisprudence accumulées depuis la directive de 1995.
Les analyses d'impact
Parmi les nouveautés absolues du RGPD, le chantier le plus anxiogène est certainement celui des fameuses "analyses [ou études] d'impact" exigées par l'article 35. 1 du Règlement dans tous les cas où le traitement prévu "est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques"…
Toute la question est de savoir ce qu'est "un risque élevé". Le même article, dans ses points 4, 5 et 6 prévoit que les autorités de contrôle des États membres (la Cnil en France) établissent "une liste des types d'opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données est requise" ainsi que, le cas échéant, "une liste des types d'opérations de traitement pour lesquelles aucune analyse d'impact relative à la protection des données n'est requise".
Cette double liste permettrait déjà de disposer d'une boussole.
Dans l'hypothèse où l'étude d'impact conclurait à la présence d'un "risque élevé", le responsable du traitement ainsi projeté est tenu de consulter l'autorité de contrôle (la Cnil), conformément à l'article 36 du Règlement. On retombe alors — peu ou prou — dans le régime d'autorisation de la Cnil tel qu'il existe pour certains types de traitements jugés à haut risque dans notre actuelle loi Informatique, fichiers et libertés (articles 25 à 27).
Quelques guides de la Cnil
Comment gérer ce type de risque ? Comment conduire une étude d'impact ? Les questions se bousculent dans l'esprit des responsables conscients de leurs obligations légales.
Pour aider à y reépondre, et en attendant les listes prévues par le RGPD, la Cnil publie depuis plusieurs mois des documents permettant d'aider les responsables.
C'est tout particulièrement le cas de ce document intitulé "Étude d'impact sur la vie privé (EIVP) ; Privacy Impact Assessment (PIA) ; Comment mener une EIVP, un PIA" qui en quelque 19 pages donne les grandes lignes de cette sorte de "check-list" que constitue une analyse d'impact.
Ce document est accessible en pdf sur le site de la Cnil :
https://www.cnil.fr/sites/default/files/typo/document/CNIL-PIA-1-Methode.pdf
Cette publication s'intègre dans un ensemble intitulé "Les PIA (Privacy Impact Assessment)" et qui propose, outre le document cité, une boite à outils : "L'outillage : Modèles et bases de connaissances de l'étude d'impact sur la vie privée" et une étude plus ancienne sur les "Bonnes pratiques : mesures pour traiter les risques sur les libertés et la vie privée".
L'ensemble est disponible sur le site de la Cnil :
https://www.cnil.fr/fr/PIA-privacy-impact-assessment