Comment réaliser une évaluation des risques liés à la protection des données personnelles ?

Avoir des opérations de traitement de données personnelles qui pourraient avoir des risques élevés pour les droits et les libertés des personnes concernées, nécessite la réalisation d’une évaluation des risques.
De quoi il s’agit ? Et comment la faire ?

Si vous avez repérez des opérations de traitement de données personnelles qui pourraient avoir des risques élevés pour les droits et les libertés des personnes concernées, il vous sera nécessaire de réaliser ce que l’on appelle une évaluation de risques liés à la protection de données.

En effet, vous devez faire cette évaluation pour l’ensemble de ces traitements.

Une Analyse d’Impact relative à la Protection de Données : Qu’est ce que c’est ?

Une évaluation des risques liés à la protection de données (en anglais, Data protection impact assessment) est une analyse d’impact relative à la protection de données personnelles qui vous permet de construire des traitements de données qui prennent en considération le respect de la vie privée. Il s’agit d’une analyse qui vous permet de démontrer la conformité de vos traitements RGPD.

Par ailleurs, l’Analyse d’Impact relative à la Protection des Données (AIPD) est un outil d’évaluation d’impact sur la vie privé qui repose sur deux principaux piliers :

1. La gestion des risques sur la vie privée des personnes concernées : une gestion qui vous permet de mettre en place les mesures techniques en vue de protéger les données personnelles.
2. Les principes et droits fondamentaux: il s’agit de principes et droits qui sont non négociables, fixés par la loi. Il est interdit de moduler les risques, peu importe leur nature, leur gravité ou leur probabilité.

Voici donc ce que contient une AIPD :

     – Une description du traitement étudié et de ses finalités.

     – Une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités

     – Une évaluation des risques pour les droits et libertés des personnes concernées les mesures envisagées pour faire face aux risques.

Guide dédié aux enjeux des startups ,TPE,PME

Découvrez dès à présent le guide sur les enjeux du RGPD des startups, petites et moyennes entreprises

Télécharger

Quand est ce que je dois mener une AIPD ?

L’Analyse d’Impact relative à la Protection de Données personnelles est considérée comme étant une bonne pratique, étant donné qu’elle vous permet de vous assurer que l’ensemble des traitements que vous faites sont conformes au RGPD. Des traitements qui peuvent, bien entendu, être susceptibles ou non d’avoir un risque élevé sur la vie privée des personnes concernées.

Il est recommandé de mener une AIPD avant même de mettre en œuvre un traitement. Les analyses doivent être revues et corrigées à fur et à mesure, et de manière régulière, surtout après des changements majeurs des méthodes de réalisation des traitements.

Par ailleurs, selon l’article 35 du RGPD, il est impératif de réaliser une Analyse d’Impact relative à la Protection de Données personnelles pour tout traitement susceptible d’avoir des risques pour les droits des personnes concernées ainsi que sur leur vie privée. La CNIL a identifié 9 critères dans les lignes directives du G29 afin de déterminer si votre traitement pourrait potentiellement avoir des risques pareils :

1. Evaluation ou notation;
2. Décision automatisée avec effet juridique ou effet similaire significatif;
3. Surveillance systématique ;
4. Données sensibles ou données à caractère hautement personnel ;
5. Données personnelles traitées à grande échelle ;
6. Croisement d’ensembles de données ;
7. Données concernant des personnes vulnérables ;
8. Usage innovant ou application de nouvelles solutions technologiques ou organisationnelles ;
9. Exclusion du bénéfice d’un droit, d’un service ou contrat.

Si vous repérez au moins 2 de ces critères dans l’un de vos traitements, il est donc recommandé par la CNIL de réaliser une AIPD.

Les acteurs qui participent à la réalisation d’une AIPD

• Le responsable de traitement : vous, en tant que responsable de traitement, devez valider l’AIPD et vous devez vous engager à mettre en œuvre le plan d’action défini dans l’AIPD.
• Le délégué à la protection des données : doit élaborer le plan d’action et doit se charger de vérifier son exécution .
• Le sous-traitant : doit fournir les différentes informations nécessaires à la réalisation de l’AIPD .
• Les personnes concernées : doivent donner leurs avis sur le traitement puisqu’ils sont concernées.

Des outils proposés par la CNIL pour vous aider

La CNIL a mis à disposition un catalogue de bonnes pratiques qui va, certainement, vous aider à mener une AIPD et à identifier parmi vos traitements ceux qui sont susceptibles d’engendrer un risque pour la protection des droits et libertés des personnes concernées.

Parmi ces outils, vous retrouverez un logiciel PIA, en version Beta.

Un logiciel qui permet la facilitation de la formalisation de cette analyse.