Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679, wp248 
A partir de quand faut-il mener une AIPD?
Pour les traitements créés ou ayant subi une modification substantielle après le 25 mai 2018.
- Le G29 recommande de mener une AIPD pour les traitements en cours au 25 mai 2018 et de réviser une AIPD qui aurait déjà été faite alors que cela n’était pas obligatoire.
Qui doit mener une AIPD?
Le(s) responsable(s) du traitement suivant les conseils et avec l’assistance du DPO qui en contrôle la méthode et le bon déroulement et l’aide à évaluer le risque résiduel.
Cela qui implique de définir les rôles et l’implication des acteurs :
– Du DPO,
– Des Business Units,
– Du CISO ou du service IT,
– du responsable conjoint le cas échéant,
– des sous-traitant,
– de l’éditeur ou du fabricant,
– des experts externes (juristes, techniciens, sécurité, sociologues, éthiques…).
Quel est le contenu d’une AIPD ?
L’analyse contient au moins:
- a) une description systématique des opérations de traitement;
- b) une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités;
- c) une évaluation des risques pour les droits et libertés des personnes concernées ;
- d) les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du présent règlement, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes affectées.
Il doit être tenu compte du respect d’un code de conduite.
Le G29 recommande que le responsable de traitement recueille l’avis des personnes concernées ou de leur représentant. Sinon, le responsable de traitement devrait en justifier.
Quand faut-il mener une AIPD ?
Avant la mise en œuvre du traitement ou de manière continue si le traitement est dynamique.
ET en cas de risques élevés pour les droits et libertés des personnes.
Il est possible de faire une seule analyse si plusieurs traitements portent sur les mêmes catégories de données et reposent sur la même technologie.
Exceptions :
– Si le traitement est conforme à des lignes directrices émises par les autorités de protection des données (ex . pack conformité CNIL, autorisation ou normes simplifiées de la CNIL).
– Ou s’il existe une base légale indiquant que l’analyse n’est pas nécessaire,
– Ou si un traitement similaire a fait l’objet d’une AIPD.
Révision de l’AIPD :
– En cas d’évolution du contexte ou de technologie ou en cas d’utilisation des données pour une nouvelle finalité ou de modification des éléments permettant d’évaluer les risques (ex. sources de risques) ;
– Et a minima tous les 3 ans
Comment mener une AIPD?
La méthode doit permettre au responsable du traitement d’en évaluer les risques et de prendre les mesures pour les limiter.
La méthode doit être adaptée au besoin et au contexte avec un niveau de détails adaptable.
Le G29 fait références aux normes ISO 31000 (gestion des risques) et ISO 29134 (analyse d’impact).
L’AIPD doit être intégrée aux processus de revue opérationnelle et de gestion des risques, de développement et de conception, en tenant compte du contexte et de la culture de l’entreprise.
Le G29 propose une liste de critères que doit respecter la méthode d’analyse (annexe2 de l’avis du G29).
Quels sont les critères permettant de déterminer la présence de risques élevés pour les droits et libertés des personnes ?
L’article 35 du GDPR rend l’AIPD obligatoire dans les 3 types de traitement suivants :
- évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire;
- traitement à grande échelle de catégories particulières de données, ou de données à caractère personnel relatives à des condamnations pénales et à des infractions;
- surveillance systématique à grande échelle d’une zone accessible au public.
Outre ces 3 cas, le G29 indique une liste de critères permettant de déterminer si un traitement est susceptible de présenter des risques élevés :
– Plus il y a de critères remplis, plus les risques sont potentiellement élevés.
– Si au moins deux des critères listés ci-après sont réunis, a priori, une AIPD s’impose.
Exceptions : une AIPD peut s’avérer nécessaire si un seul critère est rempli ; il se peut que l’AIPD ne soit pas nécessaire bien que 2 ou plusieurs critères soient remplis. Dans ce cas, il est nécessaire de le justifier.
Critère n°1 : évaluation ou scoring des caractéristiques d’une personne concernant sa performance au travail, sa situation économique, sa santé, ses préférences personnelles ou ses centres d’intérêts, sa fiabilité ou son comportement, sa localisation ou ses déplacements. Ex. profil marketing basé sur l’historique de navigation sur un site internet.
Critère n°2: décisions automatisées produisant des effets juridiques ou affectant la personne de manière significative de façon similaire. Ex. risques d’exclusion de la personne
Critère n°3 : surveillance systématique d’une zone accessible au public.
Critère n°4 : sensibilité des données i.e. catégories particulières de données, données relatives à des infractions ou à des condamnations, données de communications électroniques, données de localisation, données financières, données utilisées à des fins personnelles par la personne concernée (ex. messagerie, application de suivi d’activité ou « life logging ») et dont la divulgation pourrait être perçue comme intrusive.
Facteur minorant : si les données ont été rendues publiques et si leur utilisation ultérieure a été anticipée.
Critère n°5 : Grande échelle
En fonction du nombre de personnes concernées, du volume et de la variété des données, de la portée géographique, du caractère permanent ou récurrent.
Critère n°6 : Combinaison ou comparaison de fichiers issus de traitements de finalité différente et/ou mis en œuvre par des responsables de traitement différents et sans que la personne s’y attende.
Critère n°7 : Personnes vulnérables
Ex. enfants, personnes âgées, malades mentaux, patient, demandeur d’asile, employés vis-à-vis de l’employeur…
Critères n°8 : technologie ou solution innovante
Ex. une application de l’internet des objets qui aurait un impact significatif sur la vie quotidienne et la vie privée de la personne.
Critère n° 9 : Transferts de données hors de l’UE
Critère n°10 : Si le traitement empêche la personne d’exercer ses droits ou d’utiliser un service ou de bénéficier d’un contrat. Ex. traitement par lequel une banque détecte dans ses bases de données, les personnes susceptibles de bénéficier ou de se voir refuser un prêt
Faut-il publier l’AIPD ?
La publication n’est pas obligatoire.
La publication de tout ou partie de l’AIPD est recommandée au titre du principe de transparence et de l’obligation d’accountability.
Quand faut-il communiquer l’AIPD à l’autorité de protection des données à des fins d’autorisation ?
L’AIPD doit lui être communiquée et le traitement doit être préalablement autorisé si à l’issue de l’AIPD, il persiste des risques résiduels élevés pour les droits et libertés des personnes.
Ex. traitement de données de santé à grande échelle
Il en va de même si la loi soumet le traitement à une autorisation préalable.
