Analyse d'impact relative à la protection des données (AIPD)

L’AIPD est un outil qui permet de s'assurer qu'un traitement de données personnelles est conforme à la CPDT-JUNE, lorsqu’il est susceptible d’entraîner un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée

Le responsable de traitement (l'entité responsable) doit effectuer une AIPD  lorsque le traitement envisagé est susceptible d’entraîner un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée. S’il envisage d’effectuer plusieurs opérations de traitement semblables, il peut établir une analyse d’impact commune.

L’existence d’un risque élevé dépend de la nature, de l’étendue, des circonstances et de la finalité du traitement. Un tel risque existe notamment dans les cas suivants :

1. le traitement de données sensibles à grande échelle;

2. le profilage (toute forme de traitement automatisé de données consistant à utiliser ces données pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique);

3. la surveillance systématique de grandes parties du domaine public.

Cette liste ressortant de la loi étant exemplative, peuvent s'ajouter les cas de figure retenus par les autorités européennes de protection des données :

1. Evaluation ou notation;

2. Prise de décisions automatisée avec effet juridique ou effet similaire significatif;

3. Croisement ou combinaison d’ensembles de données;

4. Données concernant des personnes vulnérables;

5. Utilisation innovante ou application de nouvelles solutions technologiques ou organisationnelles;

6. Traitements en eux-mêmes qui empêchent les personnes concernées d’exercer un droit.

Pour plus de détails, voir les lignes directrices des CEPD concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est «susceptible d’engendrer un risque élevé».

Le responsable du traitement ne doit pas établir d'AIPD si :

1. il ne remplit les conditions exposées ci-dessus;

2. une base légale prévoit le traitement en cause et que son adoption a été précédée d’une analyse répondant aux exigences de l'art. 23b CPDT-JUNE;

3. il a débuté avant le 1er octobre 2022, pour autant que les finalités du traitement restent inchangées et que de nouvelles catégories de données ne soient pas collectées.

Le responsable de traitement (l’entité qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données) doit s’assurer de la conformité de son traitement à la CPDT-JUNE.

Son éventuel sous-traitant doit fournir son aide et les informations nécessaires à la réalisation de l'AIPD. Une AIPD peut également être menée par le fournisseur d’un produit (matériel, logiciel ou service), pour évaluer l'impact sur la protection des données de son produit. Les différents responsables de traitement qui utilisent ensuite ce produit doivent mener leurs propres AIPD mais, le cas échéant, ceux-ci peuvent être alimentés par l'AIPD du fournisseur.

Idéalement, le responsable de traitement devrait également demander l’avis des personnes concernées (par le biais d’une enquête, d’un sondage, d’une question formelle aux représentants du personnel). De même, les métiers, les équipes chargées de la mise en œuvre, et la personne chargée de la sécurité des systèmes d’information devraient également participer au processus de réalisation de l'AIPD et à sa validation.

L'AIPD doit être menée avant la mise en œuvre du traitement. Il doit être démarré le plus en amont possible.

Par la suite, le reponsable de traitement se doit d'assurer que le traitement respecte les exigences de la CPDT-JUNE.

L’AIPD est un outil qui permet de s'assurer qu'un traitement de données personnelles est conforme à la CPDT-JUNE, lorsqu’il est susceptible d’entraîner un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée

L'AIPD se décompose en trois parties :

• Une description détaillée du traitement (données personnelles traitées, émetteurs et destinataires des données, ayants droit aux données, y compris les mesures techniques qu’opérationnels,finalités, durée de conservation, nombre de personnes concernées, ...)

• Argumentaire relatif au respect des règles de la CPDT-JUNE.  Il s'agit en particulier de démontrer la nécessité et la proportionnalité du traitement au regard de la finalité, ainsi que le respect des autres obligations.

• Une étude technique des risques sur la sécurité des données (confidentialité, intégrité et disponibilité) ainsi que  leurs impacts potentiels sur la personnalité, qui permet de déterminer les mesures techniques et organisationnelles nécessaires pour protéger les données.

Il est recommandé d'utiliser l'application PIA mise à disposition par la CNIL ou les lignes directrices de la CEPD (annexe 2, p. 26) pour effectuer une AIPD.

Toutes les analyses d'impact doivent être adressées au PPDT pour qu'il se prononce sur son contenu et les mesures de sécurité envisagées. Pour ce faire, il faut utiliser le formulaire de contact afin d'assurer la sécurité de la communication.

Les traitements ne peuvent pas débuter avant d'avoir obtenu le préavis du PPDT lorsque l'AIPD révèle que, malgré les mesures prévues par le responsable du traitement, le traitement envisagé présente encore un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée.