La CNIL vient de publier la liste des traitements de données qui nécessitent une analyse d’impact préalable à la mise en place du traitement. Cette liste vient compléter les différents guides publiés par l’autorité de contrôle française sur le sujet.

CNIL

Le Règlement Général sur la Protection des Données (« RGPD ») supprime les formalités déclaratives préalables à la mise en place d’un traitement de données à caractère personnel. Désormais, chaque entreprise est soumise à un principe d’accountability. Il appartient donc à toute entreprise qui traite des données à caractère personnel, en tant que responsable du traitement ou sous-traitant, de s’assurer de la conformité du traitement au RGPD. Pour uniformiser cette conformité, et faciliter son contrôle par les autorités nationales et les personnes concernées, le RGPD prévoit plusieurs outils, notamment la tenue d’un registre et, dans certains cas, la réalisation d’une Analyse d’Impact relative à la Protection des Données (AIPD ; PIA en anglais).

Cette analyse d’impact est obligatoire dans certaines hypothèses qui tiennent à la nature des données traitées (catégories particulières de données, données relatives à des condamnations pénales et à des infractions), à la quantité de données traitées (traitement à grande échelle), au caractère systématique du traitement (profilage, surveillance de lieu public), ou lorsque certains critères dégagés par le G29 sont cumulés. L’article 35 du RGPD laisse toutefois aux autorités de contrôle nationales deux opportunités : la publication d’une liste des traitements qui doivent nécessairement faire l’objet d’une AIPD (art. 35.4. RGPD) ; la publication d’une liste de traitements qui peuvent être mis en place sans qu’il ne soit nécessaire de réaliser une AIPD (art. 35.5. RGPD).

C’est donc cette première liste, relative aux traitements soumis à une AIPD préalable, qui vient d’être publiée, environ un mois après que le Comité Européen de Protection des Données (CEPD ; European Data Protection Board ou EDPB en anglais) ait publié ses remarques sur la liste de la CNIL.

14 traitements sont concernés et doivent nécessairement faire l’objet d’une AIPD :

  • Les traitements de données de santé mis en œuvre par les établissements de santé ou les établissements médicosociaux pour la prise en charge des personnes ;

  • Les traitements portant sur des données génétiques de personnes dites « vulnérables » (patients, employés, enfants, etc.) ;

  • Les traitements établissant des profils de personnes physiques à des fins de gestion des ressources humaines ;

  • Les traitements ayant pour finalité de surveiller de manière constante l’activité des employés concernés ;

  • Les traitements ayant pour finalité la gestion des alertes et des signalements en matière sociale et sanitaire ;

  • Les traitements ayant pour finalité la gestion des alertes et des signalements en matière professionnelle ;

  • Les traitements des données de santé nécessaires à la constitution d’un entrepôt de données ou d’un registre ;

  • Les traitements impliquant le profilage des personnes pouvant aboutir à leur exclusion du bénéfice d’un contrat ou à la suspension voire à la rupture de celui-ci ;

  • Les traitements mutualisés de manquements contractuels constatés, susceptibles d’aboutir à une décision d’exclusion ou de suspension du bénéfice d’un contrat ;

  • Les traitements de profilage faisant appel à des données provenant de sources externes ;

  • Les traitements de données biométriques aux fins de reconnaissance des personnes parmi lesquelles figurent des personnes dites « vulnérables » (élèves, personnes âgées, patients, demandeurs d’asile, etc.) ;

  • Les instructions des demandes et gestion des logements sociaux ;

  • Les traitements ayant pour finalité l’accompagnement social ou médico-social des personnes ;

  • Les traitements de données de localisation à large échelle.

La CNIL mentionne pour chaque traitement lesquels des neufs critères sont mis en œuvres, au moins deux étant nécessaires pour que l’AIPD soit obligatoire. Elle fournit également des exemples concrets d’une importance évidente.

On apprend ainsi que les traitements mis en œuvres par les data brokers, les traitements qui visent à personnaliser les publicités en ligne, ou encore la collecte de données de géolocalisation par des applications mobiles entrent dans la catégorie des traitements qui doivent nécessairement faire l’objet d’une AIPD préalablement à la mise en place du traitement.

Bien évidemment, ainsi que le souligne la CNIL et le CEPD, les listes établies par les autorités de contrôle ne sont pas exhaustives et d’autres traitements peuvent être soumis à l’obligation de réaliser une AIPD préalablement à la mise en place du traitement. Ces listes constituent plutôt une énumération des traitements que l’on peut supposer fréquemment mis en œuvre et donc un outil d’information à destination des entreprises qui souhaitent réaliser ces traitements. Incidemment, cette liste et ces traitements correspondent, peu ou prou, aux dernières mises en demeure et sanctions de la CNIL : traitement de vidéosurveillance, collecte de données de géolocalisation par des applications mobiles, ou encore traitement de données biométriques sur le lieu de travail.

Il ne s’agit donc pas tant d’appliquer à ces traitements des dispositions spécifiques que s’assurer que leur mise en œuvre respecte bien le RGPD. En effet, l’AIPD doit au moins contenir, selon l’article 35.7. du RGPD, une description des traitements et finalités envisagés, le cas échéant une description de l’intérêt légitime du responsable du traitement, une évaluation de la proportionnalité des opérations (et donc une analyse du respect du principe de minimisation des données collectées), une évaluation des risques sur les droits et libertés de la personne concernée, et les mesures à adopter afin de s’assurer que le traitement sera conforme au RGPD. Si, à l’issue de cette analyse d’impact, il est mis en exergue qu’il existe des risques pour la personne concernée, le responsable de traitement doit consulter l’autorité de contrôle. L’AIPD est donc un outil de contrôle a priori et va, nécessairement, de paire avec le principe d’accountability du RGPD.

Rappelons que les traitements qui figurent dans cette liste et qui ont été régulièrement mis en œuvre avant l’entrée en vigueur du RGPD le 25 mai 2018 n’ont pas à faire l’objet d’une AIPD pendant une période de 3 ans. Toutefois, à l’issue de cette période, une AIPD devra être réalisée pour s’assurer de la conformité de ce traitement au RGPD et participer au respect du principe d’accountability du responsable du traitement. Rappelons également que le non-respect des dispositions relatives aux analyses d’impact (non réalisation, réalisation incomplète, etc.) peut donner lieu à une amende administrative pouvant s’élever à un montant de 10 millions d’euros ou jusqu’à 2 % du chiffre d’affaires annuel mondial (art. 83.4. RGPD).

L’obligation de mener une AIPD ne doit donc pas être perçue comme un frein au développement de l’activité d’une entreprise mais comme un outil qui permet :

  • De prendre conscience des risques liés à un traitement ;

  • D’établir un contact avec l’autorité de contrôle qui a, notamment, des missions d’accompagnement et de conseil auprès du responsable du traitement (art. 58.3.a) RGPD) ;

  • D’assurer la transparence des traitements réalisés. En effet, la CNIL préconise aux entreprises de publier un rapport ou un résumé de l’AIPD à destination des personnes concernées, au titre des bonnes pratiques relatives aux données personnelles.