Des précisons apportées par le G 29 sur les analyses d’impact
K.Pratique | Chroniques juridiques du cabinet KGA Avocats - Laurent Badiane, Charlotte de Dreuzy, 16/05/2017
Le Règlement européen de protection des données à caractère personnel (ci-après « RGPD ») est entré en vigueur le 27 avril 2016 et ses dispositions seront applicables en France à compter du 25 mai 2018. L’article 35 du RGPD met à la charge des responsables de traitement l’obligation de réaliser des analyses d’impact sur la protection des données pour les traitements présentant un « risque élevé pour la protection des droits et libertés des personnes » . article publié dans la revue Solutions Numériques, mai 2017
Le G 29 (1) a publié le 4 avril 2017 des lignes directrices (2) destinées à préciser les contours de cette obligation. Elles seront soumises à consultation publique jusqu’au 23 mai 2017.
Ces lignes directrices apportent des précisions sur (I) les traitements concernés par cette obligation et (II) les modalités de mise en œuvre de ces analyses d’impact.
Ces lignes directrices apportent des précisions sur (I) les traitements concernés par cette obligation et (II) les modalités de mise en œuvre de ces analyses d’impact.
I. Quels sont les traitements concernés ?
En premier lieu, on précisera que l’article 35 du RGPD prévoit (i) l’obligation pour les autorités de contrôles nationales (3) de publier et établir une liste type des opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise ainsi que (ii) la possibilité d’établir et publier la liste des traitements pour lesquels, a contrario, une telle analyse n’est pas requise.
Les lignes directrices du G 29 ont notamment pour objectif d’aider les autorités de contrôle nationales, et notamment la CNIL, dans cette démarche.
Elles précisent également le sort des traitements mis en œuvre avant l’entrée en application du RGPD (iii).
i. Dans quel cas une analyse d’impact est requise ?
L’article 35 du RGPD précise qu’une analyse d’impact sur la protection des données doit être menée « lorsqu'un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques ».
Le G 29 a élaboré des critères permettant d’apprécier si « un risque élevé pour les droits et libertés des personnes » existe, et, le cas échéant, si une analyse d’impact doit être menée.
Ces critères sont les suivants :
1. La réalisation d’évaluation ou de notation, incluant le profilage ou l’analyse prédictive (notamment relatifs au rendement au travail de la personne concernée, à sa situation économique, sa santé, ses centres d’intérêts et préférences personnelles, sa fiabilité ou son comportement, sa localisation et ses déplacements) ;
2. la prise de décisions produisant des effets juridiques à l'égard d'une personne physique ou l'affectant de manière significative de façon similaire, (par exemple : exclusion ou discrimination) ;
3. La surveillance systématique des personnes concernées par le traitement, incluant notamment la surveillance systématique d’une zone accessible au public, en raison de l’impossibilité pour les personnes de savoir qui collecte leurs données, pour quels usages et de s’y opposer ;
4. Le traitement de données sensibles (données génétiques, de santé, origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, l'appartenance syndicale, etc.) ;
5. Les opérations de traitement à grande échelle ;
6. La combinaison d’ensembles de données ;
7. Des données concernant des personnes vulnérables (mineurs, salariés, personnes âgées, patients, etc.), et plus largement toute personne pouvant se trouver dans une situation déséquilibrée face au responsable de traitement ;
8. Le recours à de nouvelles technologies (par exemple le recours au contrôle des empreintes digitales ou à la reconnaissance faciale pour améliorer le contrôle physique des accès) ;
9. Les transferts de données en dehors de l’Union Européenne ;
10. Les traitements qui ont pour objet de priver les personnes du bénéfice d’un droit, de l’usage d’un service ou encore de la conclusion d’un contrat.
Selon le G 29, en présence de deux critères ci-dessus, le traitement a de grandes chances de présenter un risque élevé pour les droits et libertés des personnes et devra faire l’objet d’une analyse d’impact. A titre d’illustration, le G 29 indique que la mise en œuvre d’un traitement de données génétiques et de données de santé des patients par un hôpital doit faire l’objet d’une analyse d’impact, ledit traitement portant à la fois sur des données sensibles et des personnes vulnérables, soit deux critères de la liste exposée.
ii. Dans quel cas une analyse d’impact n’est pas requise ?
Dans ses lignes directrices, le G 29 est venu préciser les cas dans lesquels une analyse d’impact ne sera pas nécessaire, soit notamment :
- Lorsque le traitement n’est pas susceptible de constituer un risque élevé pour les droits et libertés des personnes concernées ;
- Quand une analyse d’impact a déjà été réalisée pour un traitement similaire (cette analyse d’impact pourra dans ce cas être réutilisée) ;
- Quand le traitement a une base juridique dans le droit de l'Union ou dans le droit national, que ce droit règlemente l'opération de traitement spécifique ou l'ensemble des opérations de traitement en question et qu'une analyse d'impact relative à la protection des données a déjà été effectuée dans le cadre d'une analyse d'impact générale réalisée dans le cadre de l'adoption de la base juridique en question ;
- Lorsqu’il s’agit d’un traitement figurant sur la liste de la CNIL comme ne nécessitant pas une analyse d’impact.
iii. Quid des traitements mis en œuvre avant le 25 mai 2018 ?
S’agissant des traitements mis en œuvre avant le 25 mai 2018, le G 29 a précisé qu’ils n’étaient pas concernés par l’obligation de réaliser une analyse d’impact. Le G 29 recommande néanmoins fortement de le faire.
Il attire également l’attention des responsables de traitement sur la nécessité de réaliser une analyse d’impact si un changement, intervenant après le 25 mai 2018 et affectant le traitement de données, est susceptible de présenter un risque élevé pour les droits et libertés des personnes (introduction d’une nouvelle technologie, changement de finalité ou de contexte, transferts, collecte de données auprès d’une nouvelle catégorie de personnes pouvant être qualifiées de vulnérables, etc.).
Il précise que la bonne pratique consisterait à mener de façon continue une analyse d’impact et qu’à minima les analyses d’impact devraient être réévaluées tous les trois ans.
Cette recommandation s’étend également aux traitements antérieurs au 25 mai 2018 ainsi qu’à ceux ne nécessitant pas initialement une analyse d’impact, afin de s’assurer que, trois ans après la mise en œuvre du traitement, celui-ci ne présente toujours pas de risque élevé pour les droits et libertés des personnes concernées.
Les lignes directrices du G 29 ont notamment pour objectif d’aider les autorités de contrôle nationales, et notamment la CNIL, dans cette démarche.
Elles précisent également le sort des traitements mis en œuvre avant l’entrée en application du RGPD (iii).
i. Dans quel cas une analyse d’impact est requise ?
L’article 35 du RGPD précise qu’une analyse d’impact sur la protection des données doit être menée « lorsqu'un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques ».
Le G 29 a élaboré des critères permettant d’apprécier si « un risque élevé pour les droits et libertés des personnes » existe, et, le cas échéant, si une analyse d’impact doit être menée.
Ces critères sont les suivants :
1. La réalisation d’évaluation ou de notation, incluant le profilage ou l’analyse prédictive (notamment relatifs au rendement au travail de la personne concernée, à sa situation économique, sa santé, ses centres d’intérêts et préférences personnelles, sa fiabilité ou son comportement, sa localisation et ses déplacements) ;
2. la prise de décisions produisant des effets juridiques à l'égard d'une personne physique ou l'affectant de manière significative de façon similaire, (par exemple : exclusion ou discrimination) ;
3. La surveillance systématique des personnes concernées par le traitement, incluant notamment la surveillance systématique d’une zone accessible au public, en raison de l’impossibilité pour les personnes de savoir qui collecte leurs données, pour quels usages et de s’y opposer ;
4. Le traitement de données sensibles (données génétiques, de santé, origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, l'appartenance syndicale, etc.) ;
5. Les opérations de traitement à grande échelle ;
6. La combinaison d’ensembles de données ;
7. Des données concernant des personnes vulnérables (mineurs, salariés, personnes âgées, patients, etc.), et plus largement toute personne pouvant se trouver dans une situation déséquilibrée face au responsable de traitement ;
8. Le recours à de nouvelles technologies (par exemple le recours au contrôle des empreintes digitales ou à la reconnaissance faciale pour améliorer le contrôle physique des accès) ;
9. Les transferts de données en dehors de l’Union Européenne ;
10. Les traitements qui ont pour objet de priver les personnes du bénéfice d’un droit, de l’usage d’un service ou encore de la conclusion d’un contrat.
Selon le G 29, en présence de deux critères ci-dessus, le traitement a de grandes chances de présenter un risque élevé pour les droits et libertés des personnes et devra faire l’objet d’une analyse d’impact. A titre d’illustration, le G 29 indique que la mise en œuvre d’un traitement de données génétiques et de données de santé des patients par un hôpital doit faire l’objet d’une analyse d’impact, ledit traitement portant à la fois sur des données sensibles et des personnes vulnérables, soit deux critères de la liste exposée.
ii. Dans quel cas une analyse d’impact n’est pas requise ?
Dans ses lignes directrices, le G 29 est venu préciser les cas dans lesquels une analyse d’impact ne sera pas nécessaire, soit notamment :
- Lorsque le traitement n’est pas susceptible de constituer un risque élevé pour les droits et libertés des personnes concernées ;
- Quand une analyse d’impact a déjà été réalisée pour un traitement similaire (cette analyse d’impact pourra dans ce cas être réutilisée) ;
- Quand le traitement a une base juridique dans le droit de l'Union ou dans le droit national, que ce droit règlemente l'opération de traitement spécifique ou l'ensemble des opérations de traitement en question et qu'une analyse d'impact relative à la protection des données a déjà été effectuée dans le cadre d'une analyse d'impact générale réalisée dans le cadre de l'adoption de la base juridique en question ;
- Lorsqu’il s’agit d’un traitement figurant sur la liste de la CNIL comme ne nécessitant pas une analyse d’impact.
iii. Quid des traitements mis en œuvre avant le 25 mai 2018 ?
S’agissant des traitements mis en œuvre avant le 25 mai 2018, le G 29 a précisé qu’ils n’étaient pas concernés par l’obligation de réaliser une analyse d’impact. Le G 29 recommande néanmoins fortement de le faire.
Il attire également l’attention des responsables de traitement sur la nécessité de réaliser une analyse d’impact si un changement, intervenant après le 25 mai 2018 et affectant le traitement de données, est susceptible de présenter un risque élevé pour les droits et libertés des personnes (introduction d’une nouvelle technologie, changement de finalité ou de contexte, transferts, collecte de données auprès d’une nouvelle catégorie de personnes pouvant être qualifiées de vulnérables, etc.).
Il précise que la bonne pratique consisterait à mener de façon continue une analyse d’impact et qu’à minima les analyses d’impact devraient être réévaluées tous les trois ans.
Cette recommandation s’étend également aux traitements antérieurs au 25 mai 2018 ainsi qu’à ceux ne nécessitant pas initialement une analyse d’impact, afin de s’assurer que, trois ans après la mise en œuvre du traitement, celui-ci ne présente toujours pas de risque élevé pour les droits et libertés des personnes concernées.
II. Comment mener une analyse d’impact ?
Les lignes directrices du G 29 apportent des précisions sur (i) le moment auquel il faut mener l’analyse d’impact, (ii) les personnes qui doivent s’en charger et (iii) la méthode à suivre pour mener à bien cette analyse.
i. Quand faut-il mener une analyse d’impact ?
Le G 29 rappelle que les analyses d’impact doivent être menées avant la mise en œuvre du traitement de données personnelles et le plus en amont possible afin de respecter les principes de « privacy by design » et « privacy by default » institués par le RGPD.
Il précise que dans la mesure où l’analyse d’impact est censée être mise à jour régulièrement pendant la durée de vie du projet, sa mise en œuvre en amont permettra de garantir que le projet mis en œuvre tient compte de la protection des données personnelles et est bien conforme au RGPD.
Enfin, le G 29 rappelle que la réalisation d’une analyse d’impact doit être entendue comme un process continu et non comme une mesure ponctuelle.
ii. Qui doit mener l’analyse d’impact ?
Selon l’article 35 du RGPD, c’est le responsable de traitement qui est tenu de mettre en œuvre une analyse d’impact et qui devra répondre d’un éventuel manquement à cette obligation.
Il doit, lorsqu’un Délégué à la Protection des Données (DPO) a été désigné, prendre conseil auprès de ce dernier. Selon les lignes directrices, les conseils prodigués par le DPO et les décisions prises devront être documentées dans l’analyse d’impact.
A cet égard, est rappelée la nécessité de définir en interne les rôles et responsabilités du DPO, du responsable de traitement et des autres acteurs concernés.
L’article 35 alinéa 9 du RGPD prévoit aussi l’obligation pour le responsable de traitement de demander l’avis des personnes concernées par le traitement ou leurs représentants, lorsque c’est approprié.
Les lignes directrices viennent clarifier cette obligation en précisant que :
- l’avis des personnes concernées pourra être recueilli par plusieurs moyens, selon le contexte (par exemple par le recours à une enquête interne ou externe sur la finalité et les moyens du traitement, un questionnaire adressé aux représentants du personnel ou syndicats, ou encore la réalisation d’un sondage auprès des clients ou prospects du responsable de traitement) ;
- si la décision finale du responsable de traitement diffère des avis recueillis ou s’il décide de ne pas les suivre, il devra en documenter les raisons.
Le G 29 recommande par ailleurs, lorsque cela se justifie, le recours à des experts, avocats, techniciens ou sociologues.
iii. Quelle méthodologie suivre ?
L’article 35 (4) du RGPD liste les différents éléments qui devront figurer dans l’analyse d’impact.
Afin d’aider les responsables de traitement dans cette démarche, le G 29 publie en Annexe 2 de ses lignes directrices, la liste des critères à prendre en compte pour mener une analyse d’impact. Il est également précisé que les analyses d’impact peuvent être menées sur la base des guides de bonnes pratiques de la CNIL intitulés « Privacy Impact Assessment » (PIA) .
Les lignes directrices rappellent par ailleurs que la publication de l’analyse d’impact n’est pas une obligation légale. Le G 29 milite toutefois en faveur d’une telle publication, précisant qu’elle peut très bien ne concerner qu’une partie de l’analyse ou se formaliser par une synthèse des conclusions principales.
L’avantage concurrentiel que pourrait présenter une telle publication pour les traitements de données clients ou prospects n’est de surcroît pas à négliger : une telle publication pouvant être de nature à rassurer les personnes concernées sur le sort de leurs données et démontrer la conformité du produit ou service au RGPD.
En toutes hypothèses, il est rappelé que l’analyse d’impact, lorsqu’elle révèle l’existence d’un risque élevé qui ne peut être suffisamment atténué, doit être communiquée à l’autorité nationale de contrôle (la CNIL). Les lignes directrices restent néanmoins floues sur cette question, se contentant de préciser que tel serait le cas lorsqu’il est certain que le risque identifié va se produire ou encore pour les traitements qui auraient des conséquences irréversibles pour les personnes concernées.
Dans l’attente de la publication par la CNIL de la liste des traitements pour lesquels une analyse d’impact est requise, ces lignes directrices constituent des outils utiles pour aider les entreprises à se mettre progressivement en conformité avec le RGPD.
Si analyse d’impact n’est pas nécessaire systématiquement mais dans les seuls cas de risques élevés, il n’en reste pas moins qu’il s’agit d’un document efficace pour démontrer la conformité au RGPD et que sa publication, tout du moins en partie, pourrait présenter un certain avantage concurrentiel pour les entreprises.
En toutes hypothèses, s’agissant des traitements déjà en cours susceptibles de présenter un risque élevé, on ne pourra qu’encourager les entreprises à suivre les recommandations du G 29 consistant à réaliser une analyse d’impact (même si cela n’est pas obligatoire), dans la mesure où une telle analyse devra, au plus tard dans les trois ans suivants l’entrée en application du RGPD, être menée.
(1) L’article 29 de la directive du 24 octobre 1995 sur la protection des données et la libre circulation de celles-ci a institué un groupe de travail rassemblant les représentants de chaque autorité indépendante de protection des données nationales.
(2) Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679
(3) En France : la Commission Nationale Informatique et Libertés (CNIL)
(4) Alinéa 7
i. Quand faut-il mener une analyse d’impact ?
Le G 29 rappelle que les analyses d’impact doivent être menées avant la mise en œuvre du traitement de données personnelles et le plus en amont possible afin de respecter les principes de « privacy by design » et « privacy by default » institués par le RGPD.
Il précise que dans la mesure où l’analyse d’impact est censée être mise à jour régulièrement pendant la durée de vie du projet, sa mise en œuvre en amont permettra de garantir que le projet mis en œuvre tient compte de la protection des données personnelles et est bien conforme au RGPD.
Enfin, le G 29 rappelle que la réalisation d’une analyse d’impact doit être entendue comme un process continu et non comme une mesure ponctuelle.
ii. Qui doit mener l’analyse d’impact ?
Selon l’article 35 du RGPD, c’est le responsable de traitement qui est tenu de mettre en œuvre une analyse d’impact et qui devra répondre d’un éventuel manquement à cette obligation.
Il doit, lorsqu’un Délégué à la Protection des Données (DPO) a été désigné, prendre conseil auprès de ce dernier. Selon les lignes directrices, les conseils prodigués par le DPO et les décisions prises devront être documentées dans l’analyse d’impact.
A cet égard, est rappelée la nécessité de définir en interne les rôles et responsabilités du DPO, du responsable de traitement et des autres acteurs concernés.
L’article 35 alinéa 9 du RGPD prévoit aussi l’obligation pour le responsable de traitement de demander l’avis des personnes concernées par le traitement ou leurs représentants, lorsque c’est approprié.
Les lignes directrices viennent clarifier cette obligation en précisant que :
- l’avis des personnes concernées pourra être recueilli par plusieurs moyens, selon le contexte (par exemple par le recours à une enquête interne ou externe sur la finalité et les moyens du traitement, un questionnaire adressé aux représentants du personnel ou syndicats, ou encore la réalisation d’un sondage auprès des clients ou prospects du responsable de traitement) ;
- si la décision finale du responsable de traitement diffère des avis recueillis ou s’il décide de ne pas les suivre, il devra en documenter les raisons.
Le G 29 recommande par ailleurs, lorsque cela se justifie, le recours à des experts, avocats, techniciens ou sociologues.
iii. Quelle méthodologie suivre ?
L’article 35 (4) du RGPD liste les différents éléments qui devront figurer dans l’analyse d’impact.
Afin d’aider les responsables de traitement dans cette démarche, le G 29 publie en Annexe 2 de ses lignes directrices, la liste des critères à prendre en compte pour mener une analyse d’impact. Il est également précisé que les analyses d’impact peuvent être menées sur la base des guides de bonnes pratiques de la CNIL intitulés « Privacy Impact Assessment » (PIA) .
Les lignes directrices rappellent par ailleurs que la publication de l’analyse d’impact n’est pas une obligation légale. Le G 29 milite toutefois en faveur d’une telle publication, précisant qu’elle peut très bien ne concerner qu’une partie de l’analyse ou se formaliser par une synthèse des conclusions principales.
L’avantage concurrentiel que pourrait présenter une telle publication pour les traitements de données clients ou prospects n’est de surcroît pas à négliger : une telle publication pouvant être de nature à rassurer les personnes concernées sur le sort de leurs données et démontrer la conformité du produit ou service au RGPD.
En toutes hypothèses, il est rappelé que l’analyse d’impact, lorsqu’elle révèle l’existence d’un risque élevé qui ne peut être suffisamment atténué, doit être communiquée à l’autorité nationale de contrôle (la CNIL). Les lignes directrices restent néanmoins floues sur cette question, se contentant de préciser que tel serait le cas lorsqu’il est certain que le risque identifié va se produire ou encore pour les traitements qui auraient des conséquences irréversibles pour les personnes concernées.
Dans l’attente de la publication par la CNIL de la liste des traitements pour lesquels une analyse d’impact est requise, ces lignes directrices constituent des outils utiles pour aider les entreprises à se mettre progressivement en conformité avec le RGPD.
Si analyse d’impact n’est pas nécessaire systématiquement mais dans les seuls cas de risques élevés, il n’en reste pas moins qu’il s’agit d’un document efficace pour démontrer la conformité au RGPD et que sa publication, tout du moins en partie, pourrait présenter un certain avantage concurrentiel pour les entreprises.
En toutes hypothèses, s’agissant des traitements déjà en cours susceptibles de présenter un risque élevé, on ne pourra qu’encourager les entreprises à suivre les recommandations du G 29 consistant à réaliser une analyse d’impact (même si cela n’est pas obligatoire), dans la mesure où une telle analyse devra, au plus tard dans les trois ans suivants l’entrée en application du RGPD, être menée.
(1) L’article 29 de la directive du 24 octobre 1995 sur la protection des données et la libre circulation de celles-ci a institué un groupe de travail rassemblant les représentants de chaque autorité indépendante de protection des données nationales.
(2) Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679
(3) En France : la Commission Nationale Informatique et Libertés (CNIL)
(4) Alinéa 7