L’analyse d’impact

Qu’est-ce que c’est ?

L’analyse d’impact est un outil d’évaluation qui doit permettre de vérifier le respect des principes fondamentaux de la protection des données personnelles et la bonne gestion des risques liés à la sécurité des données et d’en apporter la preuve.

Attention

Les risques qui sont analysés sont les risques pour la personne résultant de la mise en œuvre d’un traitement et non les risques pour l’organisme en cas de non-conformité (dommages physiques, matériels, préjudice moral » tels qu’ une discrimination, un vol, une usurpation d’identité, une perte financière, une atteinte à la réputation…)

Quels sont les traitements concernés ?

Seuls doivent donner lieu à analyse d’impact les traitements « susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes » (RGPD, art. 35). Le RGPD vise trois catégories de traitements comme devant faire l’objet systématiquement et obligatoirement d’une analyse d’impact (art. 35.3) :

Les évaluations systématiques et approfondies d’aspects personnels fondées sur un traitement automatisé, sur la base desquelles sont prises des décisions produisant des effets juridiques ou affectant une personne de manière significative ;
Les traitements à grande échelle de catégories particulières de données (art. 9), ou de données relatives à des condamnations pénales et à des infractions (art. 10)
La surveillance systématique à grande échelle de zones accessibles au public.

Les cas où les analyses d’impact sont nécessaires sont en réalité plus nombreux. La Cnil a publié une liste des opérations de traitement pour lesquels cette analyse est obligatoire.

Attention : Cette liste n’est cependant pas exhaustive et les traitements qui n’y figurent pas peuvent néanmoins devoir faire l’objet d’une analyse d’impact si le traitement envisagé répond à au moins deux des 9 critères identifiés par le G29 (lignes directrices concernant l’analyse d’impact).

Récapitulatif :Comment procéder pour savoir si mon traitement requiert une analyse d’impact ?

1 – Vérifier si le traitement envisagé figure dans la liste des types d’opérations de traitement pour lesquelles la Cnil a estimé obligatoire de réaliser une analyse d’impact relative à la protection des données. Une analyse d’impact est obligatoire notamment pour :

Les traitements portant sur des données génétiques de personnes dites « vulnérables » (patients, employés, enfants, etc.) ;
Les traitements des données de santé nécessaires à la constitution d’un entrepôt de données ou d’un registre (pour servir à des finalités de recherche).

2 – Si le traitement ne figure pas dans la liste précédente, vous devez procéder à une analyse d’impact sur le traitement remplit au moins 2 des 9 critères suivants issus des lignes directrices du G29 ;

collecte de données sensibles ou données à caractère hautement personnel ;
personnes vulnérables (patients, personnes âgées, enfants, salariés, etc.) ;
collecte de données personnelles à large échelle ;
usage innovant (utilisation d’une nouvelle technologie) ;
évaluation/scoring (aide au recrutement…) ;
surveillance systématique (vidéosurveillance…);
croisement de données ;
exclusion du bénéfice d’un droit, d’un contrat, d’un service (traitement pouvant conduire à des mesures disciplinaires pouvant aller jusqu’au licenciement…)
décision automatique produisant des effets juridiques ou des effets similaires significatifs ;

A noter : pour être conforme à une méthodologie de référence (MR), la réalisation d’une analyse d’impact est requise.

Reportez-vous au logigramme de la Cnil : Dois-je faire une AIPD ?

Que contient-elle ?

L’analyse d’impact devra contenir :

Une description systématique du traitement envisagée et de ses finalités comportant :
1. Une vue d’ensemble du traitement de données à caractère personnel. Présenter le traitement considéré de façon synthétique : sa finalité, le contexte, les enjeux en mentionnant les éventuels soutiens dont bénéficie le projet (financiers, associations de patients…) et les avis éthique et scientifiques favorables au projet s’il en existe…
2. Le cycle de vie des données. Les données personnelles concernées, leurs destinataires et durées de conservation ; une description des processus et des supports de données pour l’ensemble du cycle de vie des données (depuis leur collecte jusqu’à leur effacement).
Une évaluation, plus juridique, de la nécessité et de la proportionnalité du traitement au regard des principes fondamentaux de la protection des données. cf. Les principes fondamentaux de la protection des données personnelles
Une évaluation, plus technique, des risques sur la sécurité des données (confidentialité, intégrité et disponibilité), de leurs impacts potentiels sur la vie privée,
Celle évaluation permet de déterminer les mesures techniques et organisationnelles nécessaires pour faire face aux risque et protéger la sécurité des données.

Pour cette maîtrise des risques, outre la meilleure rédaction possible de tous les documents juridiques liés au traitement et la mise en œuvre d’une stricte sécurité informatique, trois techniques sont particulièrement mises en avant par le Règlement : l’anonymisation, la pseudonymisation et le chiffrement.

Quand et comment réaliser une analyse d’impact ?

Une analyse d’impact doit être réalisée avant la mise en place d’un nouveau traitement de données et doit être mise à jour tout au long du traitement, à l’occasion notamment d’une modification substantielle du traitement.

La réalisation d’une analyse d’impact nécessite la collaboration étroite de tous les opérateurs concernés par le traitement : les métiers (maîtrise d’ouvrage), les équipes chargées de la mise en œuvre (maîtrise d’œuvre), les services chargés d’apporter un appui réglementaire ou technique, les sous-traitants qui doivent fournir leur aide et les informations nécessaires à la réalisation de l’AIPD.

Les résultats de l’analyse d’impact doivent être adressés pour avis au RSSI et au DPO pour validation si le rapport d’analyse montre un risque résiduel élevé. C’est au responsable de traitement que revient la responsabilité d’accepter les risques au vu des avis émis.

L’avis des personnes concernées ou de leurs représentants (association de patients…) est également requis. Cet avis peut être recueilli par différents moyens en fonction du contexte (par le biais d’une enquête, d’un sondage, d’une question formelle) et son absence doit être justifiée.

Pour tout conseil sur la réalisation de l’analyse d’impact, contacter le DPO (dpo@inserm.fr).

La Cnil propose différents outils tels que des guides méthodologiques ainsi qu’un logiciel open source d’aide à la rédaction des AIPD, disponibles sur son site.

Quand faut-il la transmettre à la Cnil ?

L’analyse d’impact doit être transmise à la Cnil dans les cas suivants :

s’il apparait que le niveau de risque résiduel reste élevé (cas où la Cnil doit être consultée);
quand la législation nationale l’exige ;
quand la Cnil le demande.

En matière de recherche en santé

L’analyse d’impact pourra être demandée par la Cnil dans le cadre de l’instruction de la demande d’autorisation. Elle sera systématiquement requise et doit être jointe à la demande d’autorisation en cas de :

recherche médicale portant sur des patients et/ou sur des mineurs et incluant le traitement de leurs données génétiques ;
constitution d’un registre ou d’une base de données ayant vocation à être mise à la disposition des communautés de recherche.

Pour les recherches relevant d’une méthogologie de référence, l’analyse d’impact doit être réalisée et tenue à la disposition de la Cnil mais n’a pas à lui être adressée. Elle sera demandée en cas de contrôle.

Cookie	Durée	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Version de navigateur incompatible