En quoi une AIPD est-elle différente d’une évaluation de la sécurité ?
Home » RGPD » Principaux outils et actions » AIPD » En quoi une AIPD est-elle différente d’une évaluation de la sécurité ?

De nombreuses personnes sont plus familières avec la sécurité informatique qu’avec la protection des données et utilisent des métaphores de sécurité pour penser également à la protection des données. Comme cela est très trompeur et peut conduire à des analyses d’impact sur la protection des données inacceptables, cette section explique la différence entre la protection des données et les évaluations d’impact sur la sécurité.

Dans le RGPD, la protection des données, et donc la conformité, passe par la mise en œuvre de mesures techniques et organisationnelles[1] . Il est quelque peu trompeur que les registres de traitement qui sont censés démontrer la conformité[2] , ne comprennent que des informations sur les mesures de sécurité techniques et organisationnelles[3] . Il est donc important de noter qu’une AIPD va au-delà de la simple description des mesures et que les mesures rapportées dans une AIPD (article 35(7)(d) du RGPD) ne sont en aucun cas limitées aux seuls aspects de sécurité.

Du point de vue de la sécurité, les données doivent être protégées contre les attaques externes et internes et les événements indésirables (tels que les défaillances techniques). On parle souvent de la protection des données au repos, en transit et en cours d’utilisation. La question de savoir si un risque résiduel est acceptable est décidée en fonction de l’organisation du responsable du traitement. Cette perspective n’est pas applicable à la protection des données, même si la formulation “protéger les données contre les attaques” pourrait être comprise dans ce sens.

Si la protection des données porte également sur la protection contre les attaques et les événements indésirables, c’est-à-dire la sécurité[4] , cet aspect ne couvre qu’un seul[5]des six[6] principes de la protection des données (voir “Intégrité et confidentialité” dans la partie II, section “Principes” des présentes lignes directrices).En d’autres termes, la sécurité informatique est une condition préalable à un traitement conforme, mais elle est loin de constituer une conformité totale.

Au-delà de la sécurité, les principaux risques pour les droits et libertés des personnes physiques proviennent du traitement tel qu’il est prévu, c’est-à-dire même en l’absence d’événements indésirables et d’attaques. La protection des données exige que les impacts négatifs du traitement pour les personnes concernées soient minimisés. Une analyse d’impact sur les données doit donc le démontrer en justifiant que toutes les opérations de traitement sont effectivement nécessaires et proportionnelles aux finalités. C’est évidemment très différent d’une évaluation de la sécurité : une activité de traitement peut être hautement sécurisée contre les incidents et les attaques, et pourtant comporter des risques inacceptables pour les droits et libertés des personnes.

En matière de sécurité, les mesures d’atténuation sont essentiellement techniques et permettent de prévenir les attaques ou d’atténuer l’effet d’événements indésirables sur le patrimoine du responsable du traitement. En revanche, dans le domaine de la protection des données, les mesures organisationnelles sont tout aussi importantes et permettent de minimiser l’impact négatif sur les personnes concernées. Parmi les exemples de mesures organisationnelles, citons les campagnes de formation et de sensibilisation des employés, les accords de non-divulgation et les clauses contractuelles spécifiques pour l’informatique sous-traitée à des sous-traitants.

En matière de sécurité, le risque de violation des droits et libertés de quelques personnes seulement peut n’avoir qu’un effet insignifiant sur le patrimoine d’une organisation et donc être acceptable pour un responsable du traitement. En matière de protection des données, l’accent est mis sur les personnes concernées et, même si elles sont peu nombreuses, le risque ne peut en aucun cas être acceptable pour elles[7] .

Alors qu’en matière de sécurité, les mesures sont conçues pour se défendre contre les attaques et les événements, en matière de protection des données, elles minimisent l’impact négatif sur les personnes concernées. Cela se manifeste par exemple dans la limitation de la période de conservation qui limite temporairement l’impact possible. De même, la pseudonymisation empêche l’identification facile des personnes concernées et réduit ainsi le risque pour les personnes concernées. D’autres mesures visent à créer une transparence telle que les personnes concernées ne soient pas soumises sans défense aux décisions des responsables du traitement, mais aient la possibilité de protéger leurs droits en cas d’atteinte excessive ou illégitime à leurs droits et libertés. Les mesures qui mettent en œuvre les droits des personnes concernées permettent alors à ces dernières d’intervenir pour protéger leurs droits. Ces exemples de mesures de protection des données illustrent leur caractère largement différent de celui des mesures de sécurité.

 

  1. L’article 24(1) du RGPD stipule que “…le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir et pouvoir démontrer que le traitement est effectué conformément au présent règlement.” (Surlignage ajouté par les auteurs).
  2. Le considérant 82 du RGPD stipule que “Afin de démontrer le respect du présent règlement, le responsable du traitement ou le sous-traitant devrait tenir des registres des activités de traitement sous sa responsabilité.”(Surlignage ajouté par les auteurs).
  3. L’article 30, paragraphe 1, point g), dispose que les registres des activités de traitement contiennent, “si possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l’article 32, paragraphe 1″. (Surlignage ajouté par les auteurs).
  4. En particulier, l’article 32 du RGPD “Sécurité du traitement” concerne la sécurité.
  5. Voir l’article 5, paragraphe 1, point f), du RGPD, qui cite la sécurité parmi les six principes de la protection des données.
  6. Les six principes de la protection des données sont énumérés à l’article 5, paragraphe 1, points a) à f), du RGPD.
  7. Le groupe de travail Article 29 indique : “Remarque : l’AIPD au titre du RGPD est un outil de gestion des risques pour les droits des personnes concernées, et adopte donc leur point de vue, comme c’est le cas dans certains domaines (par exemple, la sécurité sociétale). À l’inverse, la gestion des risques dans d’autres domaines (par exemple, la sécurité de l’information) est axée sur l’organisation”, wp248rev.01, page 17, section III.D.c), 3e paragraphe.
Aller au contenu principal