Le Règlement Général sur la Protection des Données (RGPD), entré en vigueur le 26 mai 2018, a supprimé la très grande majorité des formalités administratives obligatoires (déclarations simplifiées, déclaration « normale » ou autorisation) liées au traitement de données personnelles par une entité, qu’elle soit publique ou privée. En contrepartie, le Règlement a introduit un principe de responsabilité (« accountability »), par lequel chaque responsable de traitement doit pouvoir établir la conformité à la loi et à la règlementation européenne des traitements de données personnelles qu’il effectue.

C’est ainsi notamment que le responsable de traitement doit documenter, dans un registre des traitements, le type de données traitées, ses destinataires, les sous-traitants auxquels il fait appel, ainsi que les mesures organisationnelles et techniques qu’il a mises en place pour assurer la sécurité, l’intégrité et la confidentialité des données. Les relations avec les sous-traitants de données personnelles doivent également obligatoirement faire l’objet d’un contrat écrit.

Cela étant, certains traitements plus complexes, le RGPD a réintroduit une sorte de validation préalable par l’autorité de contrôle nationale (en France, la CNIL) ; en imposant au responsable du traitement de procéder à une « étude d’impact sur la vie privée », ou encore « analyse d’impact relative à la protection des données » (AIPV, ou PIA en anglais pour « privacy impact assessment »).

Cette étude, qui doit être menée sous la responsabilité du responsable de traitement, est ainsi requise « lorsque le traitement de données personnelles est susceptible d’engendrer un risque important pour les droits et libertés des personnes concernées » (art.35 RGPD).

L’analyse d’impact consiste à décrire le traitement, en évaluer la nécessité et la proportionnalité, et apprécier les risques pour les droits et libertés des « personnes concernées », liés à la mise en œuvre du traitement, afin de déterminer les mesures nécessaires pour y faire face.

Le RGPD prévoit que, si les conclusions de cette AIVP sont défavorables, c’est-à-dire lorsqu’elle fait apparaitre des « risques résiduels élevés », le responsable du traitement doit consulter la CNIL. Constituent par exemple un risque résiduel élevé un accès à des données pouvant menacer la vie des personnes concernées, entrainer leur licenciement, ou mettre en péril leur situation financière. On a peine à imaginer, dans de tels cas, comment la CNIL pourrait autoriser un tel traitement…

L’article 35.3 du RGPD prévoit 3 cas dans lesquels une AIPD est obligatoire :

a) l'évaluation systématique et approfondie d'aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l'égard d'une personne physique ou l'affectant de manière significative de façon similaire; cette 1^e catégorie inclut notamment les activités de profilage ou de prédiction, telles que l’analyse de la navigation des internautes pour créer des profils comportementaux ou marketing ;

b) le traitement à grande échelle de catégories particulières de données « particulières » ou « sensibles » (telles que la religion, l’orientation sexuelle, l’appartenance politique ou encore des données à caractère médical) ou ;

 c) la surveillance systématique à grande échelle d'une zone accessible au public (par exemple via un mécanisme de videosurveillance).

Par ailleurs, afin de clarifier et de compléter les cas prévus ci-dessus, l’article 35.4 du RGPD impose aux autorités de contrôle de publier une liste des types de traitements de données personnelles, pour lesquels une AIVP doit obligatoirement être réalisée:

Cette liste vient justement d’être publiée par la CNIL, suite à une délibération du 11 octobre 2018 et est disponible sur le site de la CNIL : https://www.cnil.fr/sites/default/files/atoms/files/liste-traitements-avec-aipd-requise.pdf

Elle contient 14 types de traitements de données.

On y retrouve notamment :

• les traitements de données de localisation à grande échelle (ex : appli mobile collectant les données de géolocalisation de ses utilisateurs)
• les traitements de profilage faisant appel à des donnée provenant de sources externes (tels que des traitements visant à personnaliser des publicités en ligne) ;
• les traitements de données de santé mis en œuvre par des établissements de santé ou médicaux-sociaux (type EHPAD ou CCAS) ; etc

Pour l’ensemble de ces traitements, le responsable du traitement devra procéder à une analyse d’impact préalable, ce qui nécessite une réflexion approfondie sur les conditions de mise en œuvre du traitement.

Le Cabinet Leclère & Louvier Avocats est à la disposition de ses clients pour les accompagner dans la réalisation de ces AIPV et, plus globalement, dans le cadre de leur démarche de mise en conformité avec cette règlementation particulièrement complexe et sensible.

Article publié par J. Louvier, le 04/01/2019