Quels critères pour réaliser une AIPD?

L’AIPD (analyse d’impact relative à la protection des données) ou PIA (Privacy Impact Assessment) est une démarche visant à définir et évaluer les mesures nécessaires afin de protéger les données personnelles des risques de violation comme le vol, la divulgation ou encore la suppression. C'est un outil important de la conformité RGPD, particulièrement pour les traitements susceptibles d'engendrer un risque élevé pour les personnes.


A l’heure où les attaques massives se multiplient, on peut notamment citer la fuite importante de données de France Travail début 2024, anticiper sa conformité est indispensable.  


L’AIPD doit vous permettre de vous rapprocher de la conformité RGPD et d’anticiper les risques auxquels sont exposés vos traitements de données. Ce document décrit le(s) traitement(s) envisagé(s), l'évaluation de conformité au RGPD (finalité définie, durée de conservation, minimisation des données...) ainsi que l'analyse des risques, les impacts potentiels sur les droits et libertés des personnes et les mesures adaptées à mettre en place. 


Cependant, tous les traitements ne font pas l’objet d’une obligation en matière d’ AIPD. Il est obligatoire seulement lorsqu’il existe un risque élevé pour les droits et libertés des personnes concernées. Le niveau de risque identifié détermine donc si une AIPD  s’impose ainsi que les actions à mener.

Aucun formalisme n’est exigé pour réaliser une analyse d’impact. Cependant, il s’agit de suivre un processus scrupuleux. L' AIPD a un rôle crucial à jouer en matière de protection des données personnelles.

Vous pensez devoir réaliser une analyse d'impact ? Dans ce guide, nous allons :

  1. Déterminer les traitements pour lesquels une analyse d'impact doit-être réalisée ;
  2. Passer en revue chaque étape de la réalisation d’une AIPD

1- Etes-vous concernés par l’obligation de réaliser une AIPD : les critères ?


En prérequis, avant de procéder à la rédaction de votre analyse d’impact, vous devez être en mesure de déterminer les traitements qui nécessitent obligatoirement une AIPD

L’article 35 RGPD impose au responsable de traitement de mener une analyse d’impact avant la mise en œuvre du traitement de données lorsque celui-ci engendre un risque pour les droits et les libertés des personnes. Le risque peut être divers : lié à la nature même des données traitées, à leur utilisation, à leur sécurité ou encore à la catégorie de personnes concernées. 

Comment savoir si l’un ou plusieurs de vos traitements de données sont concernés par l'obligation de réaliser une AIPD ?

Procédez par étape en vérifiant si votre traitement se situe dans l’un des cas suivants : 

Liste des traitements pour lesquels une AIPD n’est pas obligatoire


Les traitements pour lesquels un AIPD n’est pas obligatoire, et cela peu important le niveau de risque, sont les suivants : 

  • Le traitement est très similaire à un traitement ayant déjà fait l’objet d’une AIPD ;
  • Le traitement résulte d’une obligation légale ou lorsqu’il est nécessaire à l’exercice d’une mission de service public sous certaines conditions (obligation légale issue du droit de l'UE ou d'un Etat membre, AIPD déjà menée lors de l'adoption de cette base légale...) ;
  • Le traitement figure dans la liste des exceptions adoptée par la CNIL. Voici quelques exemples :
  • -Le traitement est mis en œuvre pour la seule gestion du personnel dans des organismes dont l’effectif est inférieur à 250 personnes (traitement de paie, RH, gestion des congés, etc).  Attention toutefois, le recours au profilage dans ce contexte est soumis à une AIPD ;
  • -Le traitement est relatif à la relation fournisseurs : il s’agit des traitements nécessaires à l’exécution d’un contrat avec une fournisseur comme la gestion des bons de commandes, des factures, des devis, etc... ;
  • -Le traitement est nécessaire à la prise en charge d’un patient par un professionnel de santé exerçant à titre individuel (hors hôpital), et ceci même s’il s’agit de données sensibles ; 
  • -Lorsque le traitement est relatif à la gestion : 
    • des activités des comités d’entreprises;
    • des services publics scolaire, périscolaires et petite enfance;
    • ou encore des fichiers électoraux des communes;
  • -Le traitement est mis en œuvre par un avocat ou un notaire dans l’exercice de sa profession à titre individuel ;
    -Le traitement est relatif à la gestion interne des membres et des donateurs des associations, fondations et organismes à but non lucratif ;
    -Le traitement est mis en œuvre aux seules fins de gestion des contrôles d’accès physiques et horaires pour le calcul du temps de travail, par exemple via la mise en place d’un badge ;
  • -ect...

Si le traitement figure dans cette liste, vous n’avez pas l'obligation de réaliser une analyse d’impact. Sinon, référez-vous au paragraphe suivant. 

Liste des traitements pour lesquels une AIPD est obligatoire


Les traitements pour lesquels une AIPD est obligatoire sont ceux qui ont pour conséquence d'engendrer un risque élevé pour les droits et libertés des personnes concernées. La CNIL en dresse une liste, cependant celle-ci n’est pas exhaustive.


 Il s’agit notamment des traitements suivants : 

  • le traitement de données de santé (données sensibles) par les établissements de santé (hôpitaux, EHPAD, etc) concernant la prise en charge des personnes (dossier patient, télémédecine...) ; 
  • les traitements de données génétiques ou données biométriques de personnes vulnérables (mineurs, personnes sous tutelles, personnes malades, etc) ; 
  • la gestion des données RH si elles ont un but de profilage et non de simple gestion du personnel : c’est par exemple le cas lorsqu’un algorithme est utilisé pour détecter les hauts potentiels ;
  • les traitements de surveillance des salariés : cybersurveillance, vidéosurveillance, tracking etc ;
  • la gestion des alertes et des signalements en matière sociale et sanitaire et en matière professionnelle (dispositif de signalement de mineurs en danger ou de signalement de situations de maltraitance sur des personnes vulnérables...) ;
  • les traitements concernant des données de localisation à large échelle ;
  • ect...


Si le traitement figure dans cette liste, vous avez l'obligation de réaliser une étude d’impact


Sinon, cela ne signifie pas pour autant que vous ne devez pas réaliser une AIPD.  Référez-vous au paragraphe suivant. 

Liste des 9 critères AIPD de la CNIL 

Votre traitement ne figure dans aucune des deux listes précédentes ? Référez-vous aux critères établis par la CNIL. Cet outil vous permet d'évaluer si vos traitements présentent un risque élevé et sont susceptibles de nécessiter une AIPD.

Le traitement consiste en une opération : 

  1. d’évaluation ou de scoring : par exemple un fichier indiquant une note de performance de salariés ; 
  2. par décision automatique avec effet légal ou similaire : par exemple un système de scoring bancaire visant à évaluer la solvabilité d’un candidat à un crédit immobilier ;
  3. de surveillance systématique : vidéosurveillance dans l’espace public ou sur les lieux de travail ; 
  4. de traitement visant à la collecte de données sensibles (article 9 du RGPD) ou celles relatives aux condamnations pénales et infractions d’une personne (article 10 du RGPD) : traitement de données de santé, d'appartenance syndicale... ; 
  5. de traitement visant à la collecte de données personnelles à “large échelle”. Cette notion n'est pas définie dans le RGPD, il faut donc faire une interprétation au cas par cas : nombre de données personnelles et de personnes concernées, l'étendue géographique ect ... ;
  6. visant à croiser ou combiner des données ou des opérations de traitements effectuées à des fins différentes et/ou par des responsables de traitement différents en outrepassant les attentes raisonnables des personnes concernées ;
  7. de traitements de données relatives à des personnes vulnérables : mineurs, patients d’un établissement de soin, personnes âgées mais aussi salariés d’une entreprise ; 
  8. usant d’une technologie innovante ou d’une nouvelle technologie : ce critère s’applique notamment à l’intelligence artificielle ;
  9. conduisant à exclure une personne du bénéfice d’un droit ou d’un contrat (sans utiliser l'algorithme).     

Si le traitement remplit 2 critères sur les 9 présentés, on considère que celui-ci présente un risque élevé pour les personnes concernées. Vous avez l'obligation de réaliser une AIPD. Sinon, vous n’êtes pas tenu de le faire. 


Cependant, même si le traitement de données ne correspond à aucun de ces critères, il n’est pas certain à 100% qu’il ne présente aucun risque pour les droits et libertés des personnes. L’ AIPD est simplement facultative. Mais vous l’aurez compris, il est toujours mieux d’en faire une ! 

2- Réaliser son AIPD en 5 étapes

Grâce aux listes et aux critères de la CNIL, vous avez identifié les traitements qui nécessitent un PIA. Vous allez maintenant pouvoir entrer dans le vif du sujet : analyser les risques et dresser un plan d’actions pour les réduire. 

L’analyse d’impact est normalement réalisée avant le traitement envisagé mais il s’agit toutefois d’une course de fond. Vos traitements pouvant évoluer, vous devez continuellement vous interroger sur la nécessité de réaliser ou de faire évoluer une AIPD déjà réalisée. 

1- Décrire les traitements envisagés 


Votre document doit comprendre une première partie décrivant le traitement que vous envisagez de réaliser avec les données personnelles. Il s’agit de mentionner les points suivants : 

  • Nature du traitement, ses finalités et ses enjeux ;
  • Identité des parties prenantes à la réalisation du traitement : responsable de traitement, les sous-traitants... ;
  • Catégories de données traitées : données d'identification, financières, professionnelles, sensibles... ; 
  • Catégorie de personnes concernées par la collecte des données : salariés, patients, mineurs, personnes âgées, clients, etc ;
  • Durée de conservation des données. 

 2- Evaluer la nécessité et la proportionnalité du traitement à sa finalité 

Au cours de cette étape, vous allez devoir justifier de  : 

  • de la nécessité et la proportionnalité du traitement : pour cela vous indiquez la finalité du traitement, la base légale (contrat, consentement, obligation légale, etc), ainsi que l’étendue de la collecte des données (pourquoi vous avez besoin de ces données pour parvenir à votre objectif). Vous justifiez de la nécessité du traitement au regard de la finalité ;
  •  Il faut toujours vous demander si vous ne pouvez pas parvenir au même résultat en collectant moins de données personnelles. C‘est le principe de minimisation de la donnée
    🔎 Exemple : vous avez besoin d’une adresse de livraison pour honorer une commande. Le traitement de données ne doit pas collecter le numéro de sécurité sociale du client pour vous permettre d'exécuter le contrat. 
  • du respect des droits des personnes concernées : information des personnes concernées sur le traitement qui est fait de leurs données, le recueil du consentement le cas échéant, l’exercice des droits des personnes concernées... ;
  • la bonne gestion des sous-traitants : garanties présentées par les sous-traitants concernant leur propre conformité, leur localisation et éventuels transferts réalisés hors UE...

3- Evaluer les risques bruts engendrés par ces traitements 

L'évaluation des risques bruts doit être réalisée autour de trois évènements redoutés : l'accès illégitime, la modification non désirée et la disparition de données personnelles.

Un risque est un scénario hypothétique qui décrit un événement redouté et toutes les menaces qui permettraient qu'il survienne.

Il convient alors de prendre en compte :

  • les sources de risque : un concurrent mal intentionné, un hackeur, un salarié en conflit avec son employeur... ;
  • les menaces suivant les supports : usurpation d'un compte utilisateur, perte d'un support de stockage mobile, exploitation d'une vulnérabilité connue... ;
  • les impacts potentiels pour les personnes concernées suivant la nature du traitement : perte d'emploi, usurpation d'identité, recommencer des démarches lourdes, risque pour l'intégrité physique...

La probabilité et la gravité du risque sont ensuite évaluer suivant les vulnérabilités des supports et des capacités des sources de risques à les exploiter.

Les risques sont souvent classés en 4 niveaux de négligeable à maximal. 

4- Identifier des mesures de prévention et d’atténuation des risques 

Cette partie de l' AIPD doit reprendre les risques bruts identifiés et indiquer les mesures envisagées pour réduire ou supprimer ceux-ci.

Les mesures envisagées peuvent être organisationnelles ou techniques et dépendent de la gravité du risque et de sa nature : 

  • utilisation de techniques de chiffrement, d’’anonymisation et de pseudonymisation des données ;
  • renforcement des mots de passe ;
  • limitation de l’accès aux données aux seules personnes strictement nécessaires ;
  • mise en place de formation de sensibilisation RGPD auprès des utilisateurs ;
  • mise en œuvre de procédures de sécurité informatique, etc... 


Pour vous inspirer, vous trouverez une liste de mesures de sécurité du traitement  pouvant être mise en œuvre, à l’article 32 du RGPD

L'objectif des mesures est de mitiger la gravité et/ou la vraisemblance du risque à un niveau acceptable pour le responsable de traitement.

5- Documenter l’analyse d’impact

Bien entendu, toute cette analyse doit faire l’objet d’un document écrit. D’autant plus si vos traitements sont amenés à évoluer régulièrement, et que l’analyse d’impact doit être mise à jour.

Cette AIPD constitue un document à fournir pour démontrer votre démarche de conformité. Il peut être exigé en cas de contrôle de la CNIL si les traitements le rendent obligatoire.

Conclusion

L’AIPD est un outil indispensable pour les responsables du traitement qui mettent en œuvre des traitements de données personnelles susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes concernées. En suivant les étapes pour réaliser une AIPD, les responsables du traitement peuvent identifier les risques et mettre en place des mesures pour les atténuer, ce qui contribue à la protection des données personnelles et à la conformité avec le RGPD. En fin de compte, une AIPD bien réalisée renforce la confiance des personnes concernées et assure une gestion responsable et sécurisée des données personnelles.

🚀 Pour tout savoir sur l’analyse d’impact et aller encore plus loin, téléchargez notre livre blanc : Comment faire un PIA

Vous ne savez pas par quoi commencer ? Leto vous aide à réaliser votre analyse d’impact en toute simplicité grâce à un module dédié : Faire son AIPD avec Leto !  

A propos de l'auteur
Edouard Schlumberger

Co-fondateur de Leto, Edouard a rencontré les problématiques de mise en oeuvre de la protection des données personnelles durant ses différentes aventures entrepreneuriales précédentes.

Cela pourrait vous intéresser

S'inscrire à la newsletter RGPD de Leto

Chaque semaine, on parle de votre conformité RGPD et on vous donne plein d'infos pertinentes et utiles!

Cliquez ici pour consulter notre politique de confidentialité.

Merci ! Nous avons bien reçu votre inscription.
Aïe ! Quelque chose n'a fonctionné. Pourriez-vous recommencer?