Le G29 publie des lignes directrices sur l’étude d’impact relative à la protection des données. Le groupe de travail de l’article 29 [1] sur la protection des données a adopté, le 4 avril 2017, des lignes directrices sur l’analyse d’impact, permettant de déterminer plus précisément les types de traitements concernés et les méthodes à retenir pour les mener.
Le Règlement européen sur la protection des données du 27 avril 2016 sera applicable le 25 mai 2018. Il porte en lui des changements majeurs et modifie de façon substantielle l’approche du sujet de la protection des données personnelles.
A côté de l’obligation d’intégrer en amont des projets les principes de protection des données (privacy by design), l’« accountability » impose désormais à chaque acteur d’être en mesure de prouver à tout moment que les traitements qu’il met en œuvre respectent les principes de protection des données personnelles.
Plusieurs outils sont proposés par le Règlement pour conduire cette « accountability » et l’étude d’impact constitue l’étape initiale qui va permettre aux acteurs de déterminer le degré de risque pour les libertés individuelles de leur traitement. [2]
C’est l’article 35 du règlement qui introduit la notion d’analyse d’impact de la protection des données (« Analyse d’impact » ou « AIPD »). Il précise que « Lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel. Une seule et même analyse peut porter sur un ensemble d’opérations de traitement similaires qui présentent des risques élevés similaires. Le G29 la définit comme un « processus conçu pour décrire le traitement, évaluer la nécessité et la proportionnalité d’un traitement et aider à gérer les risques pour les droits et libertés des personnes physiques résultant du traitement des données personnelles (en les évaluant et en déterminant les mesures à prendre en pour y répondre) ».
L’analyse d’impact est une étape incontournable pour le responsable de traitement lui permettant d’apprécier les mesures à mettre en œuvre pour se conformer au règlement. En outre, le non-respect des obligations prévues par le règlement, et notamment le manquement à l’obligation de conduire une analyse d’impact, peut entrainer des sanctions pouvant aller jusqu’à 10 millions d’euros d’amende ou jusqu’à 2% du chiffre d’affaires mondial annuel de l’exercice précédent.
Elle peut porter sur une opération de traitement unique ou un ensemble d’opérations de traitement similaires présentant des risques élevés similaires.
Par exemple, une même analyse d’impact pourra être utilisée pour des traitements utilisant une technologie similaire et poursuivant la même finalité. Le G29 donne ici l’exemple d’un groupe d’autorités municipales qui mettraient chacune en place un système de vidéosurveillance similaire. Une seule analyse d’impact pourrait couvrir le traitement par ces responsables de traitement distincts.
Une seule et même analyse d’impact pourra également être réalisée lorsque « plusieurs responsables de traitement envisagent d’introduire un environnement commun d’application ou de traitement dans un secteur ou segment industriel ou pour une activité horizontale largement utilisée. » [3] On retrouve ici une approche plus sectorielle de l’analyse d’impact.
Dans le cas de responsables de traitements conjoints, l’analyse d’impact devra détailler la répartition de leurs rôles et responsabilités au regard de la protection des droits des personnes concernées.
Si l’article 35 du Règlement donne quelques exemples de risques élevés pour lesquels l’analyse est obligatoire, (notamment le profilage ou le traitement de catégories spéciales de données), il ne définit pas cette notion.
Le G29 propose des critères permettant d’apprécier si le traitement est susceptible d’entrainer un risque élevé pour les libertés. Ces critères sont les suivants :
Pour être en mesure de « doser » ces critères, le G29 propose un tableau illustratif à la lecture duquel si deux de ces critères sont remplis, le traitement devra être considéré comme susceptible d’entrainer un risque élevé et l’analyse d’impact sera obligatoire.
Si ces critères restent soumis à l’appréciation du responsable de traitement, il ressort de l’analyse du G29 qu’une analyse d’impact devra être conduite dans une grande majorité de cas.
Il s’agit des traitements qui ne sont pas susceptibles de comporter un risque élevé, qui ont déjà été autorisés, ou qui bénéficient d’une base juridique.
Ce dernier cas est intéressant en ce qu’il présuppose que l’existence d’une base juridique dans la législation de l’UE aura conduit le responsable de traitement à évaluer le degré de risque pour les libertés individuelles en amont de la mise en œuvre du projet. Ce point est important et susceptible de concerner de nombreux traitements.
L’analyse d’impact ne sera pas non plus nécessaire pour les traitements visés sur une liste facultative, établie par l’autorité de contrôle. Cette liste pourra notamment comprendre les traitements conformes aux conditions spécifiées par l’autorité, comme c’est le cas pour les normes simplifiées adoptées par la CNIL.
En tout état de cause, l’analyse d’impact être régulièrement mise à jour. Ainsi, même dans les cas où l’analyse d’impact n’est pas obligatoire, notamment parce qu’elle a été réalisée pour un traitement similaire, celle-ci devra être actualisée pour l’ensemble des traitements et révisée régulièrement. Le G29 précise qu’une telle évaluation est « également recommandée pour un traitement de données qui a eu lieu avant mai 2018 et qui, par conséquent, n’est pas soumis à une AIPD, pour s’assurer que 3 ans après cette date ou plus tôt, selon le contexte, les risques pour les droits et les libertés sont encore atténués. ».
Le G29 rappelle que les responsables de traitement bénéficient d’« une certaine souplesse pour déterminer la structure et les formes précises de l’AIPD », plusieurs méthodes peuvent ainsi être utilisées pour se conformer aux exigences du règlement. Le G29 rappelle en ce sens que certaines autorités de contrôles, notamment la CNIL, ont d’ores et déjà développé leur propre modèle d’étude d’impact. [4].
Toutefois, le G29 présente les grandes étapes permettant la réalisation de l’étude d’impact et guidant les responsables de traitement dans leurs démarches. Ces étapes sont les suivantes :
Le G29 met en avant l’intérêt de prendre en compte des codes de conduite, normes et méthodologies de référence qui pourront permettre de démontrer que des mesures adéquates ont été mises en place. Il encourage également le développement de méthodologies d’analyse d’impact adaptées à chaque secteur mais également à chaque technologie. Ainsi, plusieurs méthodologies pourront être utilisées.
Cette idée est déjà développée par la CNIL depuis plusieurs années notamment à travers les autorisations uniques, les méthodologies de référence et les « packs de conformité » par secteur d’activité.
Si le responsable de traitement est responsable de l’analyse, celle-ci pourra être réalisée par une tierce personne, notamment un conseil extérieur à l’entreprise. Cette analyse fait également intervenir d’autres acteurs, notamment le Data Protection Officer, qui devra être consulté pour avis, le sous-traitant qui apporte son aide au responsable de traitement, mais également les instances représentatives du personnel. En effet, l’article 35 (9) précise que le responsable de traitement doit « demander l’avis des personnes concernées ou de leurs représentants ».
Enfin, il est recommandé de documenter la répartition des rôles de ces différents acteurs impliqués dans le traitement.
C’est un point important. Dans certains cas, l’analyse d’impact peut également nécessiter le recours à l’autorité de surveillance. Le G29 considère ainsi que « Chaque fois que le responsable de traitement ne peut pas trouver des mesures suffisantes (c’est-à-dire lorsque les risques résiduels sont encore élevés), une consultation de l’autorité de supervision sera nécessaire. »
A chacun donc d’évaluer le besoin de recourir à l’avis de l’autorité. L’annonce par la CNIL d’indications sur ce point sera très utile.
Par ailleurs, la consultation sera également nécessaire chaque fois que cela est précisé par la loi, notamment lorsque le traitement est justifié par l’intérêt public, « y compris le traitement relatif à la protection sociale et à la santé publique. » [5] autrement dit, dès lors que la sensibilité du traitement et/ou de sa finalité nécessite la validation de l’autorité de surveillance.
Le règlement n’impose pas la publication de l’analyse d’impact. Il appartient donc au responsable de traitement de décider s’il souhaite ou non la publier en tout ou partie.
Le G29 encourage cette pratique, gage de confiance, de responsabilité et de transparence.
[1] L’article 29 de la directive du 24 octobre 1995 sur la protection des données et la libre circulation de celles-ci a institué un groupe de travail rassemblant les représentants de chaque autorité indépendante de protection des données nationales aussi appelé le « G29 ».
[2] Le règlement européen prévoit également aux articles 40 et 42 le développement de codes de conduite et d’outils de certification, consacrant ainsi le recours aux outils de Soft Law. Ces outils permettent au responsable du traitement ou au sous-traitant de démontrer, de manière volontaire, le respect des règles relatives à la protection des données personnelles.
[3] Considérant 92 du Règlement européen sur la protection des données
[4] « Etude d’impact sur la vie privée (EIVP) proposée par la CNIL https://www.cnil.fr/sites/default/files/typo/document/CNIL-PIA-1-Methode.pdf
[5] Article 36 5° du GDPR « Nonobstant le paragraphe 1, le droit des États membres peut exiger que les responsables du traitement consultent l’autorité de contrôle et obtiennent son autorisation préalable en ce qui concerne le traitement effectué par un responsable du traitement dans le cadre d’une mission d’intérêt public exercée par celui-ci, y compris le traitement dans le cadre de la protection sociale et de la santé publique. »