Skip to Main Content

Protection des données

Références

CHARLET, François. 2018. GDPR : la CNIL publie une liste des traitements pour lesquels une analyse d'impact est requise. Blog François Charlet [en ligne]. 6 novembre 2018 [MAJ 30 novembre 2018] [Consulté le 14.01.2019]

CNIL. Analyse d'impact relative à la protection des données : les modèles. Février 2018 [en ligne] [Consulté le 14.01.2019]

CNIL. Analyse d'impact relative à la protection des données : la méthode. Février 2018 [en ligne] [Consulté le 14.01.2019]

CNIL. Analyse d'impact relative à la protection des données : les bases de connaissance. Février 2018 [en ligne] [Consulté le 14.01.2019]

DI TRIA, Livio. L'analyse d'impact relative à la protection des données (AIPD) en droit européen et suisse, SIC! 3/2020, pp.119 et ss, 123-124

DIEZ, Raoul. 2018 PIA.RGPD Analyse d'impact sur la protection des données.mmap [en ligne] [Consulté le 14.01.2019]

EHRENSTROEM, Philippe. 2021. L'analyse d'impact relative à la protection des données. Blog Le droit du travail et de la protection des données en Suisse [en ligne] 14 juillet 2021 [Consulté le 15.02.2023]

EUROPEAN DATA PROTECTION BOARD (EDPB). Recommandation 01/2019 sur le projet de liste établi par le Contrôleur européen de la protection des données concernant les opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données est requise [art. 39, paragraphe 4, du règlement (UE) 2018/1725] Adoptée le 10 juillet 2019. [en ligne] [Consulté le 05.08.2021]

GROUPE DE TRAVAIL "ARTICLE 29" SUR LA PROTECTION DES DONNEES. Lignes directrices concernant l'analyse d'impact relative à la protection des données (AIPD) et ma manière de déterminer si le traitement est "susceptible d'engendrer un risque élevé" aux fins du règlement (UE) 2016/679, adoptées le 4 avril 2017 telles que modifiées et adoptées en dernier lieu le 4 octobre 2017. 27 p., 17/FR WP 248 rév. 01 [en ligne] [Consulté le 14.01.2019]

METILLE, SYLVAIN. Analyse d'impact relative à la protection des données personnelles : comment faire ? Blog personnel [en ligne] [Consulté le 07.12.2023]

ORGANISATION INTERNATIONALE DE NORMALISATION 2017.Information technology - Security techniques - Guidelines for privacy impact assessment. 1ère éd. Genève : ISO, juin 2017. ISO/IEC 29134

PREPOSE FEDERAL A LA PROTECTION DES DONNEES. Aide-mémoire concernant l'analyse d'impact relative à la protection des données personnelles (AIPD) au sens des art. 22 et 23 LPD. Août 2023 [en ligne] [Consulté le 07.12.2023]

ROSENTHAL, David. Transfer Impact Assessment Templates. September 1, 2021 [en ligne] [Consulté le 25.01.2024]

L'analyse d'impact selon le RGPD

L'art. 35 du RGPD indique que le responsable du traitement doit, avant la mise en oeuvre de ce traitement, effectuer une analyse d'impact relative à la protection des données (AIPD) dans le cas où le traitement est "susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques".

Les principaux critères retenus pour déterminer si un traitement est à risque sont les types de données utilisées (données sensibles, de localisation, données de personnes vulnérables) ou le but du traitement  (profilage, traitement à grande échelle, évaluation de personnes, surveillance, croisement de données ...)

La CNIL, dans une délibération du 11 octobre 2018, a publié une liste des types d'opération de traitements qui nécessitent une analyse d'impact préalable à leur mise en oeuvre :

  • un traitement de données de santé
  • un traitement de données génétiques
  • un traitement qui établit des profils de personnes physiques à des fins de gestion RH
  • un traitement permettant de surveiller de manière constante l'activité de salariés
  • un traitement d'alertes dans les domaines sanitaire,social ou professionnel
  • un traitement de données de santé nécessaires à la constitution d'un entrepôt de données
  • un traitement impliquant le profilage de personnes
  • un traitement de données biométriques
  • un traitement ayant pour objet l'accompagnement social ou médicosocial de personnes
  • un traitement de données le localisation à grande échelle

Exemples : un traitement visant à faciliter le recrutement de personnes par des algorithmes.ou encore la cyber surveillance et la vidéo surveillance d'employés.

Une fois un traitement à risque identifié, le responsable du traitement doit :

  1. choisir une méthodologie d'analyse d'impact
  2. communiquer le rapport  à l'autorité de contrôle si demande
  3. consulter l'autorité de contrôle si besoin en cas de difficulté à réduire les risques identifiés (art. 36 RGPD)
  4. procéder à un réexament périodique du traitement à risque
  5. documenter les décisions prises

Méthodologie à suivre pour la réalisation d'une AIPD

L'analyse d'impact est un processus qui doit contenir la description du traitement, ses finalités, une évaluation de la nécessité et de la proportionnalité du traitement, une évaluation  des risques pour les droits et libertés des personnes concernées, et les mesures nécessaires pour y faire face.

Ce processus vise à assurer la conformité aux RGPD et à en apporter la preuve.Il n'est pas un document public mais la publication par le resonsable du tratiement d'un résumé ou des conclusions sont possibles en matière de bonne pratique.

Il est effectué par le responsable du traitement en collaboration avec le délégué à la protection des données.

Afin d'aider le responsable du traitement dans son travail, la CNIL a publié un fascicule sur les modèles d'analyses d'impact et un fascicule de méthodologie.

L'analyse d'impact selon la nLPD