Qu’est-ce qu’une AIPD ?
L’AIPD est un processus mis en place par le responsable de traitement afin d’apprécier l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel.
Quand mettre en place une AIPD ?
- L’AIPD doit être menée avant la mise en œuvre du traitement. Elle doit être démarrée le plus en amont possible et sera mise à jour tout au long du cycle de vie du traitement.
- Elle relève de la responsabilité du responsable de traitement qui est tenu de s’assurer de la conformité de son traitement au RGPD.
- Il demande conseil au délégué à la protection des données et s’appuie également, tant pour le processus de réalisation de l’AIPD que de sa validation :
- Sur les métiers (maîtrise d’ouvrage), les équipes chargées de la mise en œuvre (maîtrise d’œuvre), et la personne chargée de la sécurité des systèmes d’information.
- Si un sous-traitant intervient dans le traitement, sur ledit sous-traitant qui doit fournir son aide et les informations nécessaires à la réalisation de l’AIPD.
- L’AIPD doit faire l’objet d’une revue régulière pour s’assurer que le niveau de risque reste acceptable tout au long de la vie du traitement, dans la mesure où l’environnement, technique notamment, sera amené à évoluer, ce qui nécessitera d’adapter les mesures mises en œuvre.
Quels traitements de données sont concernés par l’AIPD ?
Le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données ou RGPD) précise que l’AIPD est à mettre en place lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques. L’AIPD est requise dans les cas suivants :
- l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire ;
- le traitement à grande échelle de catégories particulières de données, à savoir le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique, ou de données à caractère personnel relatives à des condamnations pénales et à des infractions ;
- la surveillance systématique à grande échelle d’une zone accessible au public : le responsable du traitement effectue, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel.
Par ailleurs, le Comité européen de la protection des données (CEPD) vient préciser les dispositions du RGPD. L’AIPD est requise lorsque le traitement remplit au moins deux des neuf critères issus des lignes directrices du CEPD dont :
- la collecte de données sensibles ou données à caractère hautement personnel ;
- la collecte de données personnelles à large échelle ;
- le croisement de données ;
- les personnes vulnérables (patients, personnes âgées, enfants, etc.) ;
- l’usage innovant (utilisation d’une nouvelle technologie).
Enfin, la Cnil a dressé une liste des traitements pour lesquels une analyse d’impact relative à la protection des données est obligatoire.
Quel est le contenu de l’analyse d’impact ?
L’analyse contient au moins :
- une description systématique des opérations de traitement envisagées et des finalités du traitement, y compris, le cas échéant, l’intérêt légitime poursuivi par le responsable du traitement ;
- une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités ;
- une évaluation des risques pour les droits et libertés des personnes concernées ;
- les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du présent règlement, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes affectées.
Trame de l’AIPD et guide proposé par l’Inserm
L’Inserm propose un guide afin de permettre aux personnes concernées d’élaborer une AIPD. Ce guide s’appuie sur :
- Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données- RGPD)
- Les lignes directrices du Comité européen de la protection des données (pdf)
- Les informations et documents mis à disposition par la Commission Nationale de l’Informatique et des Libertés (Cnil). Ce guide n’a qu’une valeur indicative. Il ne se substitue pas au RGPD, aux lois ou aux recommandations publiées par la Commission nationale de l’informatique et des libertés (Cnil) ou par le Comité européen de la protection des données (CEPD)
Il conviendra également, afin d’établir l’analyse d’impact relative à la protection des données (AIPD), de se référer aux guides de la Cnil :
