Les opérations de traitement obligatoirement soumises à une analyse d’impact
K.Pratique | Chroniques juridiques du cabinet KGA Avocats - Laurent Badiane, Marion Moine, 15/11/2018
L’analyse d’impact est l’une des principales nouveautés du Règlement Européen sur la Protection des Données n° 2016/679 (« RGPD »). C’est surement pour cette raison que, depuis l’entrée en application des sanctions du RGPD le 25 mai 2018, la liste des analyses d’impact obligatoires devant être établie par la Commission Nationale Informatique et Libertés (« CNIL ») était très attendue par l’ensemble des opérateurs économiques.
1. Une liste exigée par les dispositions du RGPD.
En effet, le législateur européen avait imposé dès 2016, que chaque autorité de contrôle nationale « établisse et publie une liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise » . (1)
En effet, le législateur européen avait imposé dès 2016, que chaque autorité de contrôle nationale « établisse et publie une liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise » . (1)
2. C’est chose faite en France avec la délibération CNIL n°2018-327 du 11 octobre 2018 qui établit une liste de quatorze traitements obligatoirement soumis à la réalisation préalable d’une analyse d’impact.
Cette liste a été publiée après avoir intégré – comme la procédure l’exige (2) – l’ensemble des observations qui avaient été formulées par le Comité Européen à la Protection des Données (« CEPD ») – nouvelle dénomination du G29 (3) – dans un avis du 25 septembre 2018 [V. KPratique sur cet avis ici ]. Sans grande surprise, cette liste vise notamment les traitements de données de santé mis en œuvre par les établissements de santé ou les établissements médico-sociaux pour la prise en charge des personnes. Elle intègre toutefois, les traitements établissant des profils de personnes physiques à des fins de gestion des ressources humains ou encore ayant pour finalité de surveiller de manière constante l’activité des employés concernés.
Cette liste a été publiée après avoir intégré – comme la procédure l’exige (2) – l’ensemble des observations qui avaient été formulées par le Comité Européen à la Protection des Données (« CEPD ») – nouvelle dénomination du G29 (3) – dans un avis du 25 septembre 2018 [V. KPratique sur cet avis ici ]. Sans grande surprise, cette liste vise notamment les traitements de données de santé mis en œuvre par les établissements de santé ou les établissements médico-sociaux pour la prise en charge des personnes. Elle intègre toutefois, les traitements établissant des profils de personnes physiques à des fins de gestion des ressources humains ou encore ayant pour finalité de surveiller de manière constante l’activité des employés concernés.
3. Pour mémoire, une analyse d’impact est en principe requise dès lors que le traitement envisagé présente un risque élevé pour les droits et libertés des personnes physiques.
C’est ce que rappelle expressément la délibération de la CNIL, en se référant à l’article 35.1 du RGPD. Le texte ne précise toutefois pas ce qu’il faut entendre par « risque élevé ».
D’après le CEPD, un risque est « un scénario qui décrit un évènement et ses effets, estimés en termes de gravité et de probabilité ». Toujours selon lui, le risque « vise principalement les droits à la protection des données et à la vie privée, mais s’entend également, le cas échéant, pour d’autres droits fondamentaux, tels que la liberté de parole, la liberté de pensée, la liberté de circulation, l’interdiction de toute discrimination, le droit à la liberté ainsi que la liberté de conscience et de religion ». Dans ce cadre, le comité a également dressé une série de neuf critères, qui permettent, si au moins deux d’entre eux sont réunis, d’identifier les traitements susceptibles d’engendrer un risque élevé (4) .
C’est ce que rappelle expressément la délibération de la CNIL, en se référant à l’article 35.1 du RGPD. Le texte ne précise toutefois pas ce qu’il faut entendre par « risque élevé ».
D’après le CEPD, un risque est « un scénario qui décrit un évènement et ses effets, estimés en termes de gravité et de probabilité ». Toujours selon lui, le risque « vise principalement les droits à la protection des données et à la vie privée, mais s’entend également, le cas échéant, pour d’autres droits fondamentaux, tels que la liberté de parole, la liberté de pensée, la liberté de circulation, l’interdiction de toute discrimination, le droit à la liberté ainsi que la liberté de conscience et de religion ». Dans ce cadre, le comité a également dressé une série de neuf critères, qui permettent, si au moins deux d’entre eux sont réunis, d’identifier les traitements susceptibles d’engendrer un risque élevé (4) .
4. En conséquence, la liste établie par la CNIL n’est pas exhaustive et n’exonère pas les responsables d’un traitement qui n’y figurerait pas, de s’assurer que la réalisation d’une analyse d’impact n’est pas requise .
Dans un tel cas, si un doute subsiste quant au risque élevé pour les personnes concernées, le responsable de traitement doit :
a. Tout d’abord, s’assurer, que son traitement n’est pas expressément requis par l’article 35.3 du RGPD (5) ;
employés concernés.
b. Ensuite, vérifier, avec l’aide des neuf critères établis par le CEPD, que le traitement ne présente pas un risque élevé.
Dans un tel cas, si un doute subsiste quant au risque élevé pour les personnes concernées, le responsable de traitement doit :
a. Tout d’abord, s’assurer, que son traitement n’est pas expressément requis par l’article 35.3 du RGPD (5) ;
employés concernés.
b. Ensuite, vérifier, avec l’aide des neuf critères établis par le CEPD, que le traitement ne présente pas un risque élevé.
5. Evidemment, l’ensemble des vérifications permettant de s’assurer de la nécessité – ou non - d’effectuer une analyse d’impact (V. supra) ne sera pas nécessaire si le traitement figure sur une liste qui l’en exonère.
En effet, le législateur européen a également laissé la faculté pour les autorités de contrôle d’établir une liste des types d’opérations de traitement pour lesquelles aucune analyse d’impact n’est requise (6) . Pour l’heure, aucune liste de ce type n’a été établie par la CNIL, mais les responsables de traitement devront rester attentifs dans les semaines ou mois à venir.
(1) Article 35.4. du RGPD.
(2) L’article 35.4 du RGPD dispose que les autorités de contrôle nationales doivent communiquer au CPED leur projet de liste.
(3) Le G29 est le groupe qui réunissait l’ensemble des autorités de contrôle européennes.
(4) Lignes directrices du G29, concernant l’analyse d’impact et la manière de déterminer si le traitement est « susceptible d’engendrer un risque élevé » (WP 248 rév. 01 en date du 4 avril 2017, modifiées le 4 octobre 2017).
(5) Une analyse d’impact est en particulier, requise pour les traitements suivants :
« a) l'évaluation systématique et approfondie d'aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l'égard d'une personne physique ou l'affectant de manière significative de façon similaire;
b) le traitement à grande échelle de catégories particulières de données visées à l'article 9, paragraphe 1, ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article 10; ou
c) la surveillance systématique à grande échelle d'une zone accessible au public. »
(6) Article 35. 5. du RGPD.
En effet, le législateur européen a également laissé la faculté pour les autorités de contrôle d’établir une liste des types d’opérations de traitement pour lesquelles aucune analyse d’impact n’est requise (6) . Pour l’heure, aucune liste de ce type n’a été établie par la CNIL, mais les responsables de traitement devront rester attentifs dans les semaines ou mois à venir.
(1) Article 35.4. du RGPD.
(2) L’article 35.4 du RGPD dispose que les autorités de contrôle nationales doivent communiquer au CPED leur projet de liste.
(3) Le G29 est le groupe qui réunissait l’ensemble des autorités de contrôle européennes.
(4) Lignes directrices du G29, concernant l’analyse d’impact et la manière de déterminer si le traitement est « susceptible d’engendrer un risque élevé » (WP 248 rév. 01 en date du 4 avril 2017, modifiées le 4 octobre 2017).
(5) Une analyse d’impact est en particulier, requise pour les traitements suivants :
« a) l'évaluation systématique et approfondie d'aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l'égard d'une personne physique ou l'affectant de manière significative de façon similaire;
b) le traitement à grande échelle de catégories particulières de données visées à l'article 9, paragraphe 1, ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article 10; ou
c) la surveillance systématique à grande échelle d'une zone accessible au public. »
(6) Article 35. 5. du RGPD.