(1ère partie)

L’analyse d’impact –AIPD-[1] est l’une des pierres fondamentales du RGPD[2] et de la nouvelle réglementation de protection des données personnelles, car elle conduit l’entreprise à mener une analyse intégrale des conséquences de ses traitements pour les personnes concernées, notamment en cas de dysfonctionnement, de fuite ou de corruption de leurs données. L’apparition de cette exigence dans le RGPD traduit la généralisation d’une approche « risk based », fondée sur la prévention des dommages plutôt que sur leur remédiation (ou indemnisation !) en cas de sinistre.

Toutes les entreprises sont concernées, depuis les multinationales aux nombreux transferts transfrontaliers, jusqu’aux start-up spécialisées dans les nouvelles technologies data, en passant par de nombreux secteurs traditionnellement à risque (santé, assurance, enfants mineurs, etc.).

Pour une PME…qui ne disposerait pas des ressources internes [3]pour mener de telles analyses et qui souhaiterait pas exemple mieux contrôler les risques liés à la messagerie électronique, comment par exemple identifier son engagement à l’AIPD, et comment peut elle correctement mener les analyses ? La réponse en 11 points clés et un exemple pratique que toute PME peut rencontrer.

  1. Comment mon entreprise peut-elle appréhender son éventuelle obligation d’exécuter une AIPD avant de mettre en œuvre un traitement de données personnelles?

Imaginons que vous ayez déjà désigné votre DPO et élaboré un registre de vos traitements. Vous décidez de mettre en œuvre une nouvelle stratégie (i) d’analyse automatique du flux des emails sortants, à des fins de détection d’éventuelles fuites d’information et, de plus, (ii) de surveillance et d’évaluation des salariés, capable de reporter lesdites fuites.

Vous allez donc mettre en œuvre un certain nombre de traitements automatisés de surveillance de flux et de contenus, comme c’est très souvent le cas dès lors que l’employeur fournit à ses personnels des outils de communications électroniques. Or, ces outils entraînent nécessairement la collecte et le traitement de nombreuses informations liées aux comportements de vos salariés.

  1. Quand mon entreprise doit-elle mener l’AIPD ?

L’AIPD doit être réalisée au plus tôt de la conception de l’opération de traitement, et ce même si certains éléments du traitement ne sont pas encore connus. Dans ce cas l’AIPD sera actualisée et précisée au fur et à mesure du traitement. Et en toute hypothèse, l’AIPD doit être menée et finalisée avant la mise en œuvre effective du traitement.

D’ailleurs, si le traitement a été mis en œuvre avant l’entrée en application du RGPD et qu’aucune AIPD n’a été entreprise, le responsable du traitement doit l’interrompre, et engager l’AIPD avant de remettre en route le traitement en cause.

Il existe toutefois des tempéraments pour certains traitements qui avaient fait l’objet d’une autorisation par la CNIL avant l’entrée en vigueur du RGPD : si le traitement est resté totalement inchangé, n’implique ni nouvelle donnée, ni changement de finalité, alors l’AIPD peut être repoussée quelques temps. Mais le sujet ne doit surtout pas disparaître : tôt ou tard, le traitement qui nécessite une AIPD devra en faire l’objet.

  1. Quelle démarche mon entreprise doit-elle adopter pour savoir si son projet implique d’effectuer une AIPD ?

L’initialisation de la démarche est juridique : l’entreprise, avec le conseil de son DPO, doit identifier si le traitement envisagé inclut des critères de déclenchement d’une AIPD. On doit pour cela se référer (i) au texte de l’article 35 RGPD, (ii) aux guidelines établies par le CEPD (ancien G29) et (iii) aux préconisations de la CNIL (qui a édité une liste de 14 traitements dont il est incontestable qu’ils déclenchent une AIPD).

L’article 35 du RGPD comporte une liste indicative des types de traitement susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques dont (i) « l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, fondée sur un traitement automatisé, y compris le profilage, sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative » et « le traitement à grande échelle de catégories particulières de données (données anciennement dites « sensibles » comme l’appartenance religieuse ou politique, l’orientation sexuelle ou les données de santé), ou de données à caractère personnel relatives à des condamnations pénales et à des infractions ».

C’est là l’une des grandes spécificités des AIPD : elles ressemblent de très près aux analyses de risques, couramment déployées par les entreprises pour protéger leurs actifs incorporels (fichier clients, brevets, secret industriel, codes sources, propriété intellectuelle, etc.) et pour répondre à des impératifs sectoriels (prestations de services utilisées par les banques, hébergement de données de santé, prestations de paiement sécurisé, etc.). Mais les AIPD diffèrent des analyses de risques en ce que l’angle de réflexion est différent : il ne s’agit plus pour l’entreprise d’identifier les conséquences qu’aurait sur elle-même la fuite ou la destruction de ses fichiers, mais les conséquences que la fuite ou la destruction de leurs données auraient pour les personnes concernées (c’est-à-dire les clients, les salariés, les fournisseurs, les prospects).

  1. Comment mon entreprise peut identifier les traitements nécessitant une AIPD ?[4]

Dans le cadre de sa mise en conformité au RGPD, votre entreprise doit cartographier l’ensemble des traitements de données personnelles qu’elle effectue – première étape d’un projet de mise en conformité, qu’aujourd’hui beaucoup d’entreprise ont engagé afin d’alimenter leur registre des traitements.

C’est donc dans le cadre de cette cartographie que l’entreprise doit avoir identifié le traitement consistant dans l’analyse automatique du flux des emails sortant de ses salariés. Ce traitement est effectué sur les données des salariés, correspondant à une finalité de sécurité, de protection des actifs incorporels, voire de surveillance d’activité : il appartient à l’entreprise de définir les finalités qu’elle poursuit en mettant en œuvre ces traitements de contrôle.

L’entreprise doit partir de la fiche de traitement issue de son registre, et lui appliquer les critères formulés par le CEPD). Dans ses lignes directrices sur les AIPD, le CEPD liste en effet neuf critères, nettement plus détaillés que les trois exemples de l’article 35 du RGPD.

Si au moins deux de ces critères sont réunis, l’entreprise doit considérer que le traitement qu’elle envisage engendre un risque élevé pour les droits et libertés des personnes concernées (ici, ses salariés).

Plus précisément : le traitement d’analyse automatique du flux d’emails sortants inclut potentiellement « une surveillance automatique », et « porte sur des personnes vulnérables ». En effet, les salariés, qui ne sont pas dans une relation égalitaire avec leur employeur puisque le contrat de travail se caractérise justement par un lien de subordination, sont expressément considérés par le CEPD comme des personnes vulnérables.

On doit donc constater ici que sont réunis deux des critères retenus par le CEPD : plus de doute, l’AIPD s’avère nécessaire. Le traitement en cause figure d’ailleurs dans la liste des traitements identifiés par la CNIL comme impliquant obligatoirement une AIPD, liste élaborée sur la base des lignes directrices du CEPD.

En cas de doute sur la nécessité de procéder ou non à une AIPD et sur l’applicabilité d’un ou plusieurs critères, par précaution l’entreprise doit considérer qu’elle est tenue de mener l’AIPD.

Au-delà d’ailleurs, l’exécution d’une AIPD, même si les critères du CEPD ne sont pas réunis, est perçue par les autorités comme une bonne pratique. Compte tenu néanmoins des coûts (financiers et organisationnels), la PME doit savoir identifier les traitements qui impliquent d’exécuter une AIPD à coups sûr, ceux pour lesquels un doute existe (et qui devraient donc également entraîner une AIPD), et ceux pour lesquels l’AIPD n’est pas obligatoire, car alors le zèle n’est pas nécessaire. En matière d’AIPD comme en matière plus généralement de sécurité, les maître-mots sont la pertinence et la proportionnalité.

(Lire la suite)

 

[1] Les analyses d’impact préalable (AIPD) ou « études d’impact sur la vie privée (EIPV) » sont des outils de prévention, d’évaluation et de gestion des risques qu’une entreprise doit mettre en œuvre, lorsqu’elle est sur le point de réaliser un traitement de données personnelles qui est susceptible, selon le texte qui les impose, d’entrainer un risque pour les droits ou libertés fondamentales des personnes.

[2] l’article 35 du Règlement européen Général de Protection des Données 2016-679, entré en vigueur le 25 mai 2018, qui impose aux entreprises et organisations de mettre en œuvre une « analyse d’impact relative à la protection des données », lorsqu’un traitement « en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques ».

[3] La CNIL, en France, a produit de nombreux outils très simples d’utilisation, dont un logiciel open source permettant de jouer des analyses d’impact en renseignant directement les caractéristiques des traitements de données et des dispositifs techniques utilisés pour les effectuer. La CNIL a également produit une documentation méthodologique abondante, à laquelle il est ici renvoyé.

[4] « Lignes directrices WP248 du 4 avril 2017 concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est « susceptible d’engendrer un risque élevé », CEPD ; Délibération n° 2018-326 du 11 octobre 2018 portant adoption de lignes directrices sur les AIPD, CNIL ; Délibération n°2018-327 du 11 octobre 2018 portant adoption de la liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise, CNIL.