Le groupe de travail Article 29 a fourni les orientations les plus universellement applicables à cette question^[1] . Sur cette base, de nombreuses autorités de contrôle ont publié des orientations plus spécifiques dans leur langue nationale, axées sur leurs préoccupations nationales.

Le guide fournit une procédure permettant de déterminer si une activité de traitement est “susceptible d’entraîner un risque élevé pour les droits et libertés des personnes physiques”, c’est-à-dire si une AIPD est nécessaire. Elle consiste en neuf critères concernant l’activité de traitement. Pour chaque critère, le responsable du traitement doit décider (et documenter) s’il est pertinent pour l’activité de traitement en question. Les orientations du groupe de travail comprennent des exemples qui illustrent ce point.

En particulier, les neuf critères portent sur les points suivants :

1. Évaluation ou notation ;
2. Prise de décision automatisée avec effet légal ou effet significatif similaire ;
3. Suivi systématique ;
4. Données sensibles ou de nature très personnelle ;
5. Données traitées à grande échelle ;
6. Faire correspondre ou combiner des ensembles de données ;
7. Données concernant des personnes vulnérables ;
8. Utilisation innovante ou application de nouvelles solutions technologiques ou organisationnelles ;
9. Empêche les personnes concernées d’exercer un droit ou d’utiliser un service ou un contrat ;

Sur la base de l’évaluation de ces critères, il est décidé si le traitement est susceptible d’entraîner un risque élevé : “Dans la plupart des cas, un responsable du traitement des données peut considérer qu’un traitement répondant à deux critères nécessiterait la réalisation d’une AIPD.”^[2] Ceci n’est toutefois qu’indicatif, et un responsable du traitement peut décider que :

• un traitement ne répondant qu’à l’un de ces critères nécessite uneAIPD ;^[3]
• un traitement répondant à (au moins) deux critères n’est toujours pas susceptible d’entraîner un risque élevé^[4] .

Dans ce dernier cas, le responsable du traitement doit justifier cette décision. En tout état de cause, pour démontrer la conformité (article 5, paragraphe 2, du RGPD), la procédure visant à déterminer si une AIPD est nécessaire doit être documentée.

À titre d’orientation supplémentaire, les autorités de contrôle (nationales) doivent publier une liste des types d’opérations de traitement qui requièrent une analyse d’impact sur la protection des données (article 35(4) du RGPD) et peuvent également publier une liste des opérations pour lesquelles une AIPD n’est pas nécessaire (article 35(5) du RGPD). Ces listes sont présentées à l’EDPB et publiées au niveau de l’UE^[5] ; en pratique, ces publications peuvent agir comme un référentiel accessible des exigences et des attentes en matière d’AIPD au niveau national.

Nous conseillons de suivre soit la procédure nationale, soit celle fournie par le groupe de travail Article 29 et de la documenter même si elle montre qu’une AIPD n’est pas nécessaire.

 

1. Voir wp248rev.01, section III.B., pages 8-13. Le lien de téléchargement est contenu dans la note de bas de page . ↑
2. wp248rev.01, Section III.B., page 11, 2^nd paragraphe, surlignage ajouté par les auteurs. ↑
3. wp248rev.01, Section III.B., page 11, 3^e paragraphe. ↑
4. wp248rev.01, Section III.B., page 12, 2^e paragraphe ↑
5. Voir https://edpb.europa.eu/our-work-tools/our-documents/topic/data-protection-impact-assessment-dpia_en ↑