L’Analyse d’Impact relative à la Protection des Données (AIPD)
L'analyse d'impact est un prérequis exigé par le RGPD pour certains traitements et dont l'absence de réalisation peut coûter cher...
L’article 35 du Règlement Général sur la Protection des Données (RGPD) dans sa version française utilise le terme Analyse d’Impact relative à la Protection des Données (AIPD). Le paragraphe 1 précise le contexte général dans lequel un responsable de traitement (RT) doit y recourir : « lorsqu'un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l'impact des opérations de traitement envisagées sur la protection des données à caractère personnel". En outre, l'AIPD doit contenir, a minima : la description systématique des opérations de traitement envisagées et des finalités du traitement, y compris, le cas échéant, l'intérêt légitime poursuivi par le responsable du traitement, l'évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités, l'évaluation des risques pour les droits et libertés des personnes concernées conformément au paragraphe 1 et enfin les mesures envisagées pour faire face aux risques. Cette dernière comprend en outre les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du présent règlement, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes affectées. Précision non négligeable, conformément à l'article 28 du RGPD, le sous-traitant peut avoir l’obligation d’assister le responsable de traitement pour réaliser l’AIPD.
Le Comité Européen de la Protection des Données (CEPD, anciennement G29) dans ses lignes directrices du 4 octobre 2017 WP 248 rév.01 sur les analyses d’impact propose une liste de neuf critères pour déterminer si une opération de traitement est susceptible d’engendrer un risque élevé : l'évaluation ou notation (scoring), la prise de décision automatisée avec effet juridique ou effet similaire significatif, la surveillance systématique, la collecte de données sensibles ou à caractère hautement personnel, la collecte de données traitées à grande échelle, le croisement ou combinaison d’ensembles de données concernant des personnes vulnérables, l'utilisation innovante ou application de nouvelles solutions technologiques ou organisationnelles ou encore des traitements en eux-mêmes qui empêchent les personnes concernées d’exercer un droit ou de bénéficier d’un service ou d’un contrat. Pour aider les organismes a déterminer si les AIPD sont nécessaires, la CNIL a diffusé une infographie permettant d'apprécier l'opportunité et, ou la nécessité de réaliser l'AIPD
.La CNIL propose par ailleurs une infographie qui permet d’avoir une vue d’ensemble simplifiée des principes à mettre en œuvre. Il s’agit en 4 étapes de : délimiter et décrire le contexte du traitement considéré, analyser les mesures garantissant le respect des principes fondamentaux, apprécier les risques sur la vie privée liés à la sécurité des données et vérifier qu’ils sont convenablement traités et enfin formaliser la validation de l'AIPD au regard des éléments précédents ou bien décider de réviser les étapes précédentes. L'autorité met également à disposition du public le logiciel open source PIA disponible pour Windows, macOs et Linux 64 bits ainsi qu’une version web que nous pouvons déployer sur notre propre serveur. Une page dédiée au logiciel PIA contient une vidéo tutoriel, les liens de téléchargement du logiciel et un ensemble d’informations concernant son installation et son utilisation.