RGPD et analyse d’impact : la CNIL fixe sa doctrine

La CNIL poursuit son œuvre pédagogique en matière d’analyse d’impact s’agissant des traitements de données personnelles les plus risqués. Après avoir diffusé en février 2018 un document intitulé « Analyse d’impact relative à la protection des données – Privacy Impact Assessment (PIA) – Les bases de connaissances » ^[1] , celle vient de publier deux délibérations sur ce sujet.
Tout d’abord, par une délibération n° 2018-326 du 11 octobre 2018 (JO du 6 novembre), la CNIL fixe des principes généraux sur le périmètre des analyses d’impact relatives à la protection des données (AIPD), sur le mode opératoire et le périmètre de l’obligation de porter à sa connaissance les résultats d’une AIPD. Par une seconde délibération, n° 2018-327 du même jour ^[2] , la CNIL livre une liste de traitements devant nécessairement donner lieu à une analyse d’impact relative à la vie privée (AIPD).

I. Généralités

La délibération n° 2018-326 précise le périmètre de l’obligation de conduire une analyse d’impact, les conditions de réalisation et indique que des référentiels sectoriels sont à venir et que, certains d’entre eux, produiront des effets juridiques, exonérant de la réalisation d’AIPD « les responsables de traitement qui s’y conformeraient strictement ».
Par ailleurs, cette délibération rappelle les types de traitement soumis obligatoirement à analyse d’impact au sens de l’article 35-1 du RGPD (profilage automatisé, traitement à grande échelle de données sensibles et vidéoprotection dans les zones accessibles au public), ainsi que les 9 critères retenus par le G29 ^[3] pour déterminer si un traitement est susceptible d’engendrer un risque élevé pour les personnes (cf. tableau 1)
Pour le G29, c’est lorsque deux de ces critères sont remplis qu’une analyse d’impact doit être menée, cependant, un seul peut parfois suffire au regard du traitement envisagé. Il sera cependant possible de s’écarter de la recommandation ci-dessus dans certains cas de figure si le responsable de traitement prouve, de manière documentée que, même en présence de deux des critères mentionnés ci-dessus, il n’existe pas de « risque élevé » ^[4] .
Cet article 35-1 prévoit également que le responsable doit effectuer une AIPD lorsqu’un traitement est susceptible d’engendrer « un risque élevé pour les droits et libertés des personnes physiques ». On soulignera que le considérant 75 du RGPD vise expressément les cas de profilage parmi les types de traitements pour lesquels une analyse d’impact peut être exigée. La délibération précise que les traitements régulièrement mis en œuvre avant le 25 mai 2018 n’ont pas à faire l’objet d’une analyse d’impact dans un délai de 3 ans, à moins d’une modification substantielle, sans toutefois préciser ce qu’est une modification substantielle. Une décision de transfert de données hors UE, ou bien une modification de la finalité, ou bien encore l’apparition de l’un des neuf critères du G29 peuvent constituer des indices pertinents.
Concernant les conditions de réalisation de l’analyse d’impact, la CNIL exige qu’elle soit menée avant la mise en œuvre du traitement et qu’elle soit revue régulièrement (au plus tard tous les 3 ans). Cette analyse d’impact doit au moins être faite en présence du DPO, du RSSI, des sous-traitants concernés, de représentants des personnes concernées et du maître d’ouvrage/maître d’œuvre. Chaque étape doit être documentée et, en cas de risque résiduel, la CNIL devra être saisie.
La Délibération établit une liste des traitements pour lesquels une analyse d’impact est obligatoire, notamment pour le profilage à des fins de gestion RH, la gestion des alertes et signalements en matière professionnelle ou encore la localisation à large échelle. Cette liste sera régulièrement mise à jour par la CNIL.
Les AIPD pourront, en application des articles 58 du RGPD et 44 de la loi du 6 janvier 1978, être demandées aux responsables de traitement, notamment dans le cadre de l’instruction des plaintes dont elle serait saisie ou dans le cadre du contrôle de la mise en œuvre des traitements.
Lorsqu’il ressort d’une AIPD que le responsable du traitement est d’avis que le risque ne peut être atténué par des moyens raisonnables compte tenu des techniques disponibles et des coûts de mise en œuvre, il y a lieu de consulter l’autorité de contrôle avant le début des opérations de traitement ^[5] .
II. Délibération n° 2018-326 – Liste CNIL des traitements soumis à AIPD
Dans la « liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise » publiée par la CNIL en marge de la sa délibération du 11 octobre 2018, certains concernent plus particulièrement les activités bancaires. Les principaux sont présentés dans le Tableau 2.