Analyse d'impact relative à la protection des données (AIPD)
Sommaire
- Définition AIPD
- Traitements nécessitant une AIPD
- Traitements ne nécessitant pas une AIPD
- Responsable de traitement astreint à une AIPD
- AIPD doit se faire avant la mise en œuvre du traitement
- Contenu et annonce de l'AIPD
- Informations complémentaires
- Avis publiés du PPDT
- Prises de position sommaires du PPDT
Définition AIPD
L’AIPD est un outil qui permet de s'assurer qu'un traitement de données personnelles est conforme à la CPDT-JUNE, lorsqu’il est susceptible d’entraîner un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée.
Elle vise à identifier à un stade préalable les risque élevés associés à un projet, qui se caractérisent par leur probabilité de survenance et, du fait du qualificatif « élevés », par la gravité de leurs conséquences. Elle ne se résume pas à la prévisibilité et à l’évaluation des risques « élevés ». Son intérêt pratique réside aussi et surtout dans le fait qu’elle permet, d’une part, de documenter de façon claire l’origine et l’analyse des risques systémiques et relevant des techniques de sécurité et, d’autre part, de réduire les risques à un niveau acceptable du point de vue du droit de la protection des données par des mesures appropriées.
Traitements nécessitant une AIPD
Le responsable de traitement (l'entité responsable) doit effectuer une AIPD lorsque le traitement envisagé est susceptible d’entraîner un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée. S’il envisage d’effectuer plusieurs opérations de traitements semblables, il peut établir une analyse d’impact commune.
Le traitement de données personnelles à risque élevé ne doit pas nécessairement être nouverau. Le développement et l’extension d’un traitement préexistant peuvent aussi faire l’objet d’une AIPD.
Traitements ne nécessitant pas une AIPD
Le responsable du traitement ne doit pas établir d'AIPD si :
-
Il ne remplit les conditions exposées ci-dessus.
-
Une base légale prévoit le traitement en cause et que son adoption a été précédée d’une analyse répondant aux exigences de l'art. 23b CPDT-JUNE.
-
Il a débuté avant le 1er octobre 2022, pour autant que les finalités du traitement restent inchangées et que de nouvelles catégories de données ne soient pas collectées.
Responsable de traitement astreint à une AIPD
Le responsable de traitement (l’entité qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données) doit s’assurer de la conformité de son traitement à la CPDT-JUNE.
Son éventuel sous-traitant doit fournir l'aide et les informations nécessaires à la réalisation de l'AIPD. Une AIPD peut également être menée par le fournisseur d’un produit (matériel, logiciel ou service), pour évaluer l'impact sur la protection des données de son produit. Les différents responsables de traitement qui utilisent ensuite ce produit doivent mener leurs propres AIPD mais, le cas échéant, celles-ci peuvent être alimentées par l'AIPD du fournisseur.
Idéalement, le responsable de traitement devrait également demander l’avis des personnes concernées (par le biais d’une enquête, d’un sondage, d’une question formelle aux représentants du personnel). De même, les métiers, les équipes chargées de la mise en œuvre et la personne chargée de la sécurité des systèmes d’information devraient également participer au processus de réalisation de l'AIPD et à sa validation.
AIPD doit se faire avant la mise en œuvre du traitement
L'AIPD doit être menée avant la mise en œuvre du traitement. Elle doit être démarrée le plus en amont possible.
Par la suite, le responsable de traitement se doit d'assurer que le traitement respecte les exigences de la CPDT-JUNE.
Contenu et annonce de l'AIPD
Pour établir une AIPD, il suffit de télécharger les deux fichiers ci-dessous, de les remplir.
Toutes les analyses d'impact doivent être adressées au PPDT pour qu'il se prononce sur son contenu et les mesures de sécurité envisagées. Pour ce faire, il faut utiliser le formulaire de consultation pour une analyse d'impact afin d'assurer la sécurité de la communication.
Les traitements ne peuvent pas débuter avant d'avoir obtenu le préavis du PPDT lorsque l'AIPD révèle que, malgré les mesures prévues par le responsable du traitement, le traitement envisagé présente encore un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée.
Fichiers établis sur la base des documents "Analyse d'impact relative à la protection des données (AIPD): Les bases de connaissances" et "Analyse d'impact relative à la protection des données (AIPD): les modèles" publiés par la CNIL, édition février 2018.
Informations complémentaires
- Vidéo sur l'AIPD du CEPD
- Explications sur l'AIPD de la CNIL
- Explications sur l'AIPD du CEPD
- Documentation à propos de l'AIPD proposée par la CNIL
- Lignes directrices du CEPD pour une AIPD
- Recommandations du CEPD pour une AIPD
- L'analyse d'impact relative à la protection des données (AIPD) en droit européen et suisse, par Livio Di Tria
- Méthode (CNIL)
- Les bases de connaissances (CNIL)
- Application gratuite pour une AIPD (CNIL)
- Explication de la CNIL sur les dispositifs de mesure de fréquentation des espaces publics
Avis publiés du PPDT
Prises de position sommaires du PPDT