L’obligation de realiser une AIPD
L’analyse d’impact relative a la protection des donnees (AIPD), prevue a l’article 35 du RGPD, est obligatoire lorsqu’un traitement est susceptible d’engendrer un risque eleve pour les droits et libertes des personnes physiques. Elle doit etre realisee avant la mise en oeuvre du traitement.
La CNIL a publie une liste de 14 types de traitements pour lesquels l’AIPD est obligatoire en France. Parmi eux figurent les traitements de donnees de sante a grande echelle, les traitements de profilage avec effets significatifs, la surveillance systematique des salaries, ou encore le traitement de donnees biometriques pour l’identification des personnes.
Les 9 criteres du CEPD pour evaluer la necessite d’une AIPD
Le Comite europeen de la protection des donnees a identifie 9 criteres permettant d’evaluer si un traitement necessite une AIPD. Lorsque le traitement remplit au moins 2 de ces criteres, l’AIPD est en principe requise : evaluation ou scoring, decision automatisee avec effet significatif, surveillance systematique, donnees sensibles, traitement a grande echelle, croisement de donnees, personnes vulnerables, usage innovant, et transfert hors UE.
Le responsable de traitement doit documenter son analyse meme lorsqu’il decide de ne pas realiser d’AIPD. Cette documentation justifie la decision et demontre la prise en compte des risques lors de la conception du traitement.
La methodologie de l’AIPD
L’AIPD se decompose en quatre etapes principales. La premiere consiste a decrire le traitement : finalites, donnees collectees, destinataires, duree de conservation, base legale. Cette description doit etre suffisamment detaillee pour permettre l’evaluation des risques.
La deuxieme etape evalue la necessite et la proportionnalite du traitement. Le responsable de traitement verifie que les donnees collectees sont adequates, pertinentes et limitees a ce qui est necessaire. Il s’assure que la duree de conservation est justifiee et que les personnes concernees sont correctement informees.
La troisieme etape identifie les risques pour les droits et libertes des personnes concernees. Ces risques sont evalues en termes de gravite et de vraisemblance. Les sources de risques (internes et externes), les evenements redoutes (acces illegitime, modification non souhaitee, disparition des donnees) et les impacts potentiels sont analyses.
La quatrieme etape determine les mesures pour traiter les risques identifies. Ces mesures peuvent etre techniques (chiffrement, controle d’acces, sauvegarde) ou organisationnelles (formation, procedures, audits). L’AIPD doit demontrer que le risque residuel est acceptable.
Le role du DPO dans l’AIPD
Le DPO doit etre consulte lors de la realisation de l’AIPD, conformement a l’article 35 paragraphe 2 du RGPD. Son avis est consigne dans l’AIPD. Le DPO peut recommander de consulter la CNIL si le risque residuel demeure eleve malgre les mesures envisagees.
L’AIPD n’est pas un document fige. Elle doit etre reexaminee regulierement, notamment lorsque le traitement evolue, lorsque de nouveaux risques apparaissent ou lorsque le contexte change. Le DPO veille a la mise a jour de l’AIPD et au suivi des mesures de traitement des risques.
