Une AIPD est un processus dans lequel le responsable du traitement, avant de lancer une procédure de traitement des données présentant un risque élevé pour les libertés et droits fondamentaux des personnes concernées, évalue l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel (article 35, paragraphe 1, du RGPD). Si les responsables du traitement sont confrontés à un risque élevé, alors une AIPD doit être menée conformément à l’article 35(7) du RGPD. Dans le cas des données de localisation et de proximité, l’EDPB a estimé “qu’une analyse d’impact sur la protection des données (AIPD) doit être réalisée avant de mettre en œuvre un tel outil, car le traitement est considéré comme présentant probablement un risque élevé (données relatives à la santé, adoption anticipée à grande échelle, surveillance systématique, utilisation d’une nouvelle solution technologique). L’EDPB recommande vivement la publication des AIPD”.^[1] .

Il est important de souligner qu’une AIPD doit être réalisée chaque fois que le responsable du traitement considère qu’un traitement concret comporte un risque élevé. La plupart des agences de protection des données imposent des analyses d’impact sur la protection des données lorsque le traitement implique une localisation systématique des personnes concernées.^[2] Par conséquent, il peut parfaitement arriver qu’un développeur doive réaliser plusieurs AIPD au cours du processus de production. En effet, nous considérons que ces analyses doivent être revues et mises à jour lorsque cela est possible et surtout lorsque le responsable du traitement doit définir les politiques de conservation et d’élimination des données.

Dans certaines situations, si le résultat de l’analyse d’impact sur les données est que l’activité de traitement envisagée présente un risque élevé de porter atteinte aux libertés et droits fondamentaux des personnes concernées, le responsable du traitement doit demander l’avis de l’autorité de contrôle nationale, comme le prescrit l’article 36 du RGPD. Certains États membres ont publié des listes qui contiennent des exemples d’activités de traitement des données qui déclencheraient cette AIPD obligatoire ; parmi ces exemples, nous pouvons identifier des situations qui correspondent à des techniques traitant des données de localisation et de proximité. Cela est particulièrement vrai si elles intègrent des techniques d’IA. Les autorités de contrôle peuvent exiger l’adoption de certaines mesures pour atténuer le risque, si possible, ou interdire l’utilisation du dispositif ou du système si cela n’est pas possible.

Liste de contrôle : une AIPD est-elle nécessaire ?  Le responsable du traitement a déterminé les juridictions où les activités de traitement des données auront lieu.  Le responsable du traitement a vérifié si ces juridictions ont adopté des listes indiquant les traitements qui requièrent une analyse obligatoire de l’impact sur la protection des données et a vérifié si le traitement des données prévu est couvert par ces dispositions.  Si le responsable du traitement n’est pas sûr de la nécessité d’effectuer une analyse de l’impact sur la protection des données, il doit consulter le DPD ou, à défaut, le service juridique du responsable du traitement.  Le cas échéant, le responsable du traitement a procédé à une analyse d’impact sur la protection des données.  Si nécessaire, le responsable du traitement a déposé une consultation préalable auprès de l’autorité de contrôle compétente.  Si des modifications étaient suggérées, le responsable du traitement suivait l’avis de l’autorité de contrôle.

 

1. EDPB, Lignes directrices 04/2020 sur l’utilisation des données de localisation et des outils de recherche des contacts dans le contexte de l’épidémie de COVID-19 Adopté le 21 avril 2020 ↑
2. Voir, par exemple, la position adoptée par l’Agence espagnole de protection des données dans : https://www.aepd.es/sites/default/files/2019-09/listas-DPIA-es-35-4.pdf. ↑