Selon le groupe de travail Article 29, une analyse d’impact sur la protection des données (AIPD) est “un processus conçu pour décrire le traitement [des données à caractère personnel], évaluer sa nécessité et sa proportionnalité et contribuer à gérer les risques pour les droits et libertés des personnes physiques résultant du traitement des données à caractère personnel en les évaluant et en déterminant les mesures pour y faire face”[1] .
L’article 35.1 du RGPD exige que les responsables du traitement des données effectuent une AIPD lorsque le traitement des données est susceptible d’entraîner un risque élevé pour les droits et libertés des personnes physiques. Par conséquent, une AIPD n’est pas toujours obligatoire. Cependant, les responsables du traitement des données sont tenus de toujours effectuer l’évaluation préliminaire des risques afin de déterminer si le traitement est susceptible d’entraîner des risques élevés pour les droits et libertés des personnes physiques. Cette évaluation préparatoire fait partie intégrante du processus d’AIPD. Ainsi, il est possible de dire que certains éléments de l’AIPD sont obligatoires pour, au moins, déterminer si uneAIPD est nécessaire.
Les risques pour les droits et libertés des personnes concernées sont mentionnés au considérant 75 du RGPD. Il s’agit des risques qui pourraient entraîner un dommage physique, matériel ou immatériel pour la personne concernée (par exemple, se voir refuser l’accès à un service suite à une identification faussement négative).
| Exemples de risques pour les droits et les libertés | |
| Discrimination | Vol d’identité ou fraude |
| Perte financière | Atteinte à la réputation |
| Perte de la confidentialité du secret professionnel | Annulation non autorisée de la pseudonymisation |
| Désavantage économique ou social | Empêchement de l’exercice du contrôle des données personnelles |
Le RGPD ne définit pas le terme “risque élevé”. Toutefois, le groupe de travail Article 29 a établi une liste de neuf critères que les responsables du traitement des données peuvent suivre pour déterminer si le traitement peut être considéré comme à haut risque[2] .
| Critères detraitement à haut risque | |
| Critère 1 | Évaluation ou notation (par exemple, profilage) |
| Critère 2 | Prise de décision automatisée avec effet juridique ou effet significatif similaire |
| Critère 3 | Suivi systématique |
| Critère 4 | Données sensibles ou à caractère hautement personnel |
| Critère 5 | Données traitées à grande échelle |
| Critère 6 | Mise en correspondance ou combinaison d’ensembles de données (au-delà des attentes raisonnables de la personne concernée) |
| Critère 7 | Données concernant les personnes vulnérables |
| Critère 8 | Utilisation innovante ou application de nouvelles solutions technologiques ou organisationnelles |
| Critère 9 | Lorsque le traitement en lui-même empêche les personnes concernées d’exercer un droit ou d’utiliser un service ou un contrat. |
Les chercheurs effectuant leurs activités de recherche devraient les prendre tous en considération afin de comprendre si une évaluation des facteurs relatifs à la vie privée est nécessaire. Cependant, les critères quatre et huit sont particulièrement pertinents aux fins du présent document. Le critère quatre est important lorsque les données biométriques traitées le sont au cours de l’activité de recherche. Le huitième critère est important dans le contexte de la recherche sur les TIC, car cette activité peut introduire une nouvelle technologie pour traiter les données (par exemple, des méthodes innovantes pour capturer et analyser des échantillons de voix).
L’article 35.4 du RGPD exige des autorités de contrôle nationales qu’elles publient la liste des activités de traitement des données pour lesquelles une évaluation préliminaire des risques est obligatoire[3] . Cela pourrait donner des indications supplémentaires sur ce qui constitue un traitement nécessitant une évaluation des risques avant traitement, et les chercheurs devraient prêter attention à la position des autorités de contrôle concernées. En outre, les chercheurs devraient demander conseil au DPD de l’organisation, étant donné la complexité de la tâche à accomplir.
Afin de pouvoir démontrer la conformité, il convient de documenter et de conserver l’évaluation visant à déterminer si le traitement est susceptible d’entraîner des risques élevés pour les droits et libertés des personnes physiques.
- Article 29 Data Protection Working Party, ‘Guidelines on Data Protection Impact Assessment (DPIA) and Determining Whether Processing Is “Likely to Result in a High Risk” for the Purposes of Regulation 2016/679’, October 2017, 4. ↑
- Article 29 Data Protection Working Party, 9–11. ↑
- À cet égard, les autorités de contrôle nationales ont publié sur leur site internet la liste correspondante. Dans certains cas, l’EDPB a déjà émis un avis sur la question concernant les activités incluses dans chaque liste. Pour de plus amplesinformations, veuillez consulter European Data Protection Board, ‘Opinion 6/2019 on the Draft List of the Competent Supervisory Authority of Spain Regarding the Processing Operations Subject to the Requirement of a Data Protection Impact Assessment (Article 35.4 GDPR)’, March 2019. ↑