18 Juin 2018 Une analyse d’impact #RGPD : est-ce obligatoire ?
Le RGPD est entré en application le 25 mai 2018. Il prévoit à l’article 35 qu’une analyse d’impact soit réalisée dans certains cas. On appelle aussi l’analyse d’impact un PIA (« privacy impact assessment »).
L’objectif de ce billet est, très modestement, d’expliquer en quelques mots si un PIA doit être fait. Nous verrons dans un autre billet que cela ne représente pas toujours un travail démesuré.
Un responsable de traitement (c’est-à-dire, une organisation qui gère un traitement de données personnelles, cf article 4 RGPD ) doit faire un PIA si le traitement est risqué pour les droits et libertés des personnes physiques.
Le mot important à retenir est le mot : « risqué ». Il s’agit de mesurer, d’évaluer un risque pour savoir s’il faut faire un PIA.
Le RGPD donne plusieurs paramètres du risque :
- si le traitement utilise des nouvelles technologies,
- en fonction de la nature, la portée, le contexte, les finalités du traitement.
La CNIL aide à quantifier le risque. Selon elle, si deux critères au moins sont remplis, le PIA doit être réalisé :
- évaluation/scoring (y compris le profilage) ;
- décision automatique avec effet légal ou similaire ;
- surveillance systématique ;
- collecte de données sensibles ;
- collecte de données personnelles à large échelle ;
- croisement de données ;
- personnes vulnérables (patients, personnes âgées, enfants, etc.) ;
- usage innovant (utilisation d’une nouvelle technologie) ;
- exclusion du bénéfice d’un droit/contrat.
Et elle donne l’exemple d’une entreprise qui contrôle l’activité des salariés. C’est, selon la CNIL, une surveillance systématique, et sur des personnes vulnérables. Les deux analyses peuvent se discuter : le contrôle peut très bien ne pas être systématique mais ponctuel, et les salariés ne sont pas des personnes vulnérables (même s’ils sont en situation de subordination juridique, ce ne sont pas des mineurs ou des personnes malades).
L’intérêt de ces critères est de pouvoir décider en toute connaissance de cause. Si l’entreprise décide de ne pas réaliser de PIA, elle devrait au moins réaliser un document (de quelques lignes ou quelques paragraphes) pour justifier son refus.
Evidemment, en cas de doute, les précautionneux conseilleront de réaliser un PIA. Ce n’est pas notre point de vue chez Nouveau Monde Avocats. Nous sommes là pour éclairer les choix de nos clients, pas pour prendre les décisions à leur place…