Existe-t-il une méthode normalisée pour effectuer une analyse de l’impact sur la protection des données ? Existe-t-il des schémas, des modèles ou des outils pour aider à la réalisation d’une AIPD ?
Home » RGPD » Principaux outils et actions » AIPD » Existe-t-il une méthode normalisée pour effectuer une analyse de l’impact sur la protection des données ? Existe-t-il des schémas, des modèles ou des outils pour aider à la réalisation d’une AIPD ?

Les AIPD étant un instrument relativement nouveau introduit au niveau de l’UE avec le RGPD, la manière dont une AIPD doit être réalisée fait encore l’objet de nombreuses discussions et il existe plusieurs écoles de pensée différentes. Certaines autorités de contrôle nationales ont publié des orientations sur le sujet, voire des outils et des modèles spécifiques. Alors qu’une analyse d’impact sur la protection des données est principalement évaluée par l’autorité de contrôle compétente (c’est-à-dire généralement nationale), les orientations fournies ici ne peuvent pas aller dans le sens de ce qui est disponible dans tous les États membres. En revanche, les orientations sont fournies sur la base de l’avis du groupe de travail Article 29 sur la protection des données concernant l’évaluation des risques avant traitement (wp248rev.01)[1] qui a été officiellement adopté[2] par le Conseil européen de la protection des données[3] . Conformément à l’article 70, paragraphe 1, du RGPD, “le Conseil veille à l’application cohérente du présent règlement” et constitue donc la meilleure source de conseils au niveau européen.

La figure illustrant le processus itératif de réalisation d’une AIPD fournie par le groupe de travail a déjà été présentée dans la figure 1 ci-dessus. Il s’agit d’un cycle contenant les étapes suivantes :

  1. Description du traitement envisagé.
  2. Évaluation de la nécessité et de la proportionnalité.
  3. Mesures déjà envisagées.
  4. Évaluation des risques pour les droits et libertés [des personnes physiques].
  5. Mesures envisagées pour faire face aux risques.
  6. Documentation.
  7. Suivi et révision.

Le groupe de travail explique qu’il existe une certaine flexibilité dans la manière dont une AIPD est structurée :

“Le RGPD offre aux responsables du traitement des données une certaine souplesse pour déterminer la structure et la forme précises de l’évaluation des risques avant traitement, afin de permettre à celle-ci de s’adapter aux pratiques de travail existantes. Il existe un certain nombre de processus différents établis au sein de l’UE et dans le monde qui tiennent compte des éléments décrits au considérant 90. Cependant, quelle que soit sa forme, une AIPD doit être une véritable évaluation des risques, permettant aux responsables du traitement de prendre des mesures pour y faire face.” [4]

Le groupe de travail donne des exemples d’approches actuellement connues dans son annexe I[5] . Il s’agit de “cadres” génériques nationaux et sectoriels d’AIPD. “Le [groupe de travail] encourage l’élaboration de cadres AIPD spécifiques au secteur.[6]

Les responsables du traitement sont donc libres de choisir la structure et le format les plus appropriés pour une AIPD, pour autant que certaines exigences soient remplies : “Il appartient au responsable du traitement des données de choisir une méthodologie, mais celle-ci doit être conforme aux critères fournis à l’annexe 2.”[7] Le groupe de travail “propose [ces] critères que les responsables du traitement des données peuvent utiliser pour évaluer si une AIPD, ou une méthodologie pour réaliser une AIPD, est suffisamment complète pour être conforme au RGPD”[8] .

En général, les différentes méthodologies sont accompagnées de schémas, de modèles et/ou d’outils.

Le reste de cette section se concentre donc sur ces critères pour une AIPD acceptable fournis par le groupe de travail.

Les critères reflètent pour l’essentiel la structure et le contenu de l’article 35, paragraphe 7, mais fournissent des détails et une interprétation supplémentaires. Le texte qui suit en reprend le contenu avec quelques reformulations et restructurations mineures pour plus de clarté[9] :

  1. Description systématique du traitement (article 35, paragraphe 7, point a) du RGPD)
  2. Évaluation de la nécessité et de la proportionnalité (article 35, paragraphe 7, points b) et d), du RGPD)
  3. Gestion des risques pour les droits et libertés des personnes concernées (article 35, paragraphe 7, points c) et d), du RGPD).
  4. Participation des parties intéressées (article 35, paragraphe 2, et article 35, paragraphe 9, du RGPD)

Chacun de ces éléments est examiné plus en détail dans les sous-sections suivantes.

Puis-je suivre l’approche standard de l’ISO ?

L’ISO a publié la norme internationaleISO/CEI 29134:2017
“Technologies de l’information – Techniques de sécurité – Lignes directrices pour l’étude d’impact sur la vie privée.“Comme d’habitude pour les normes ISO, le texte de la norme n’est pas disponible publiquement mais seulement pour les clients payants. Les normes ISO sont de nature globale et répondent donc à une variété de concepts de “vie privée”. Il est peu probable que la norme adopte un point de vue juridique et impossible qu’une seule norme satisfasse aux exigences juridiques nécessairement différentes des différentes législations. Si l’approche ISO convient à un contrôleur donné, il est donc conseillé de consulter en parallèle les orientations juridiques spécifiques au RGPD.

La deuxième phrase du considérant 90 du RGPD présente un intérêt général pour toutes ces sous-sections. Elle est rapportée ici avec un surlignage et une structure (points) ajoutés par les auteurs :

“Cette analyse d’impact devrait inclure, en particulier, les mesures, garanties et mécanismes envisagés pour :

  • atténuer ce risque,
  • assurer la protection des données à caractère personnel et
  • démontrer la conformité au présent règlement”.

En d’autres termes :

  • L’AIPDse concentre sur les mesures, les sauvegardes et le mécanisme.
  • Ils s’appliquent aux :
    • auxrisques,
    • à la protection des données à caractère personnel, c’est-à-dire le respect du RGPD, et
    • à ladémonstration de la conformité.

Il est important de noter qu’une AIPD ne se concentre pas seulement sur l’identification, l’évaluation et l’atténuation des risques, mais aussi sur la conformité et la démonstration de la conformité. Ce dernier point est particulièrement évident dans la lettre (b) de l’article 35(7) et dans la sous-section correspondante “2. Évaluation de la nécessité et de la proportionnalité” qui est décrite ci-dessous.

Description systématique du traitement

En apportant des précisions à l’article 35, paragraphe 7, point a), du RGPD, le groupe de travail décompose la description du traitement concerné en éléments suivants[10] :

  • Nature, portée, contexte et finalités du traitement (considérant 90 du RGPD) ;
  • données personnelles, destinataires et durée de conservation ;
  • description fonctionnelle de l’opération de traitement ;
  • les moyens techniques et humains mis en œuvre dans le traitement
    (matériel, logiciels, réseaux, personnes, papier ou canaux de transmission) ;
  • le respect des codes de conduite approuvés (article 35, paragraphe 8, du RGPD).

Il est important de noter, en ce qui concerne le premier point, que l’article 35, paragraphe 7, point a), décrit “les finalités du traitement, y compris, le cas échéant, l’intérêt légitime poursuivi par le responsable du traitement“.

Si la plupart des concepts énumérés ici sont probablement bien compris, la signification exacte de (i) nature, (ii) portée et (iii) contexte peut être plus difficile à cerner. Étant donné qu’il n’existe pas d’interprétation officielle de ces termes, les lignes qui suivent proposent une interprétation possible en espérant qu’elle s’avérera utile.

(i) Nature : Il peut y avoir de multiples aspects liés à la nature du traitement, notamment les suivants :

  • Le paradigme du traitement ;
  • le paradigme de l’infrastructure ;
  • leniveau d’automatisation ;
  • laforme d'”effet” ;
  • le niveau d’innovation.

Les paradigmes de traitement peuvent aller de l’impératif (c’est-à-dire les applications “traditionnelles”) à l’intelligence artificielle basée sur l’apprentissage automatique, en passant par le déclaratif et le fondé sur des règles (par exemple, les systèmes experts).

Le paradigme de l’infrastructure peut aller d’une application de bureau à une application client-serveur, en passant par une solution basée sur le cloud, toutes présentant différents niveaux de distribution.

Le niveau d’automatisation peut aller de la fourniture de supports aux acteurs humains à un fonctionnement entièrement automatique sans aucune possibilité d’intervention humaine.

La forme de l'”effet” décrit le “résultat” du traitement. Cela peut aller de l’information pure (dans les systèmes d’information), en passant par la création d’un statut (par exemple, le droit de vote) qui détermine les actions possibles d’une personne, par la gestion du patrimoine virtuel d’une personne (par exemple, un compte bancaire), jusqu’aux systèmes cyber-physiques qui affectent directement le monde physique dans lequel vit la personne ou la personne elle-même.

Le niveau d’innovation peut aller du maintien d’un réalisme où les risques et leur atténuation sont bien compris, au déploiement de nouvelles technologies et méthodes dont les conséquences n’ont pas encore été découvertes et qui peuvent s’accompagner d’effets secondaires et de risques encore inconnus.

(ii) Champ d’application : Ce qui se trouve à l’intérieur et à l’extérieur du champ d’application de l’activité de traitement détermine son impact. En matière de protection des données, le champ d’application doit être considéré par rapport aux personnes concernées. Cela englobe de multiples aspects, dont les suivants :

  • Quelles sont les personnes concernées et combien sont affectées ?
  • Quels sont les aspects de la vie de ces personnes qui sont affectés ?
    • Pendant quelle durée et à quelle fréquence ces aspects sont-ils saisis ?
    • Avec quelle précision ces aspects sont-ils saisis ?

Le type et le nombre de personnes affectées déterminent évidemment l’impact de l’activité de traitement. Le type de personnes affectées est intéressant pour savoir si certaines d’entre elles sont vulnérables et nécessitent une protection particulière. Outre le nombre absolu de personnes, les nombres relatifs se rapportent à des zones géographiques ou à des groupes d’utilisateurs.

Les aspects de la vie concernés sont étroitement liés aux catégories de données impliquées. De toute évidence, les différents aspects de la vie présentent différents niveaux de sensibilité et donc de risque. Dans le RGPD, les catégories spéciales de données (article 9) ainsi que les données relatives aux condamnations pénales (article 10) sont identifiées comme particulièrement sensibles. L’impact du traitement des données ne dépend pas seulement des types d’aspects qui entrent dans le champ d’application du traitement, mais aussi de l’éventail des aspects d’une personne qui sont traités. Un aspect isolé a généralement un impact beaucoup plus faible que le traitement d’un profil qui donne une image complète de la vie d’une personne.

La portée temporelle, et plus particulièrement la durée pendant laquelle ces aspects sont saisis, détermine également l’impact. Cet aspect est étroitement lié aux périodes de conservation et à l’effacement des données. Lorsqu’un certain type de données est collecté plus d’une fois, la fréquence est également importante. Cela est particulièrement évident dans le cas des données de localisation, où un suivi effectué tous les quelques jours est très différent d’un suivi effectué toutes les quelques minutes.

La précision avec laquelle les aspects de la vie d’une personne sont saisis détermine également l’impact de l’activité de traitement. C’est par exemple évident lorsqu’on examine le lieu où se trouve une personne : connaître le pays où elle se trouve a beaucoup moins d’impact que de connaître ses coordonnées précises. De même, savoir qu’une personne est majeure a beaucoup moins d’impact que de connaître sa date de naissance.

(iii) Le contexte : Il est souvent impossible de comprendre une activité de traitement et ses risques sans connaître son contexte. Les différents aspects du contexte peuvent, entre autres, être :

  • Légal ;
  • Technique
  • Économique ;
  • Sociétal.

Une partie du contextejuridique est la base légaledu traitement conformément à l’article 6 du RGPD et éventuellement à l’article 9 du RGPD. Sont également pertinentes ici les éventuelles certifications conformément à l’article 42 du RGPD, les codes de conduite approuvés conformément à l’article 40 du RGPD (voir l’article 35, paragraphe 8) et les règles d’entreprise contraignantes conformément à l’article 47 du RGPD. Le contexte juridique peut également inclure des avis autorisés du Conseil européen de la protection des données conformément à l’article 64 du RGPD ou des décisions de justice qui sont pertinentes pour l’évaluation de l’impact. Il convient de noter que le groupe de travail a répertorié les codes de conduite dans un élément distinct, probablement parce que l’article 35, paragraphe 8, du RGPD l’exige explicitement.

Deux aspects contribuent au contexte technique :

  • Les autres activités de traitement effectuées par le même responsable du traitement ou par des responsables du traitement différents qui interagissent avec l’activité de traitement, et
  • L’état de l’art de la technologie pour défendre et attaquer.

Dans certains cas, il est impossible d’évaluer une activité de traitement de manière isolée. C’est généralement le cas des systèmes distribués où différents responsables du traitement exploitent différents composants. La gestion fédérée de l’identité en est un bon exemple : un fournisseur d’identité exploite un composant qui ne peut être compris que si l’on considère également les utilisateurs et les parties qui se fient à lui. Ici et dans de nombreux cas, la vie privée est souvent déterminée par les protocoles de communication utilisés entre les composants et donc les activités de traitement. Cela est illustré par l’existence de protocoles spécifiquement conçus pour renforcer la protection de la vie privée[11] . Si l’on devait évaluer l’impact sans tenir compte du contexte, ces protocoles particulièrement pertinents tomberaient dans les failles des responsables du traitement, et donc des AIPD.

Il va de soi que l’état de l’art technologique doit être pris en compte pour comprendre l’impact du traitement. En conséquence, le RGPD impose de prendre en compte l’état de l’art à la fois à l’article 32 sur la sécurité du traitement et à l’article 25 sur la protection des données dès la conception et par défaut (voir “Protection des données dès la conception et par défaut” dans la partie II des présentes lignes directrices, section “Concepts principaux”). En matière de sécurité (qui est l’un des aspects de la protection des données), pour comprendre les risques, il est essentiel de connaître le paysage actuel des menaces qui décrit la facilité des attaques ainsi que la disponibilité et l’efficacité des mesures défensives. Pour minimiser l’impact du traitement sur les personnes concernées conformément à la protection des données dès la conception, il est essentiel de connaître les possibilités techniques disponibles.

Le contexte sociétal décrit l’influence que les personnes et les organisations peuvent avoir sur les activités de traitement. Cela inclut la question de savoir qui pourrait être intéressé par l’utilisation des données traitées à d’autres fins. Cela inclut les aspects de la motivation et des ressources dont disposent les acteurs potentiels[12]pour le faire. Il est important de noter que le contexte ne se limite pas aux acteurs externes mais inclut également le personnel interne qui pourrait être motivé pour utiliser les données à d’autres fins.

Évaluation de la nécessité et de la proportionnalité

En apportant des précisions à l’article 35, paragraphe 7, point b), du RGPD, le groupe de travail décompose l’évaluation de la nécessité et de la proportionnalité en plusieurs sous-points répartis en deux grands groupes[13] . Il est important de noter que tous ces points concernent les mesures envisagées pour se conformer au RGPD.[14] Pour faciliter la compréhension, ces points sont classés ici comme suit :

Points relatifs à :

  1. Obligations génériques du chapitre 2 “Principes” du RGPD(voir “Grands principes” dans la partie II des présentes lignes directrices)
  2. Obligations spécifiques du chapitre 3 du RGPD “Droits de la personne concernée” (voir “Droits de la personne concernée” dans la partie II des présentes lignes directrices).
  3. Obligations spécifiques du chapitre 4 du RGPD “Responsable du traitement et sous-traitant“.
  4. Obligations spécifiques du chapitre 5 du RGPD “Transferts de données à caractère personnel vers des pays tiers ou des organisations internationales” (voir “Transferts de données vers des pays tiers” dans la partie II, section “Principaux outils et actions”).

Ceux-ci sont décrits plus en détail dans les paragraphes suivants :

1. Principes :

Les points fournis par le groupe de travail Article 29 dans cette section correspondent étroitement aux principes génériques (a) à (f) de la protection des données prévus à l’article 5(1) du RGPD avec la différence suivante :

  • L’article 6, plus concret, est utilisé pour couvrir la licéité, au lieu de l’article 5, paragraphe 1, point a), lui-même.
  • L’article 5, paragraphe 1, point d), sur la “précision” est omis, probablement parce que le droit de rectification de la personne concernée couvre les mêmes aspects de manière plus concrète.
  • L’article 5, paragraphe 1, point f), relatif à la sécurité (“intégrité et confidentialité”) est omis, probablement parce qu’il est traité plus loin dans la “gestion des risques pour les droits et libertés des personnes concernées”.

L’AIPD est désormais requis pour chaque principe (voir “Grands principes” dans la partie II des présentes lignes directrices). Il s’agit de savoir quelles mesures ont été prises pour s’y conformer. Dans ce qui suit, une sélection incomplète d’exemples de telles mesures est donnée :

Les mesures visant à démontrer le respect de la “limitation de la finalité” décrite à l’article 5, paragraphe 1, point b), consistent à spécifier les finalités explicites du traitement. Cette description doit être précise et concrète. Pour démontrer la conformité, il faut justifier que ces finalités sont légitimes et que l’impact sur les personnes concernées a été minimisé en maintenant les finalités aussi étroites que nécessaire.

Un autre aspect important de l’article 5, paragraphe 1, point b), est que les données “ne doivent pas être traitées ultérieurement de manière incompatible avec ces finalités”. Étant donné que la divulgation est considérée comme un traitement (voir l’article 4, paragraphe 2, du RGPD), cela signifie que les données à caractère personnel ne doivent être divulguées qu’aux personnes et parties nécessaires et justifiées par les finalités déclarées. Les mesures qui montrent la conformité à cette exigence comprennent la documentation de qui (employés du responsable du traitement et destinataires tiers) a besoin d’accéder aux données et au traitement, et comment les droits d’accès sont gérés et mis à jour dans la pratique. Cela complète les mesures visant à atténuer les menaces d’accès illégitime qui font partie de la section “gestion des risques” décrite plus bas.

Les mesures visant à garantir la licéité du traitement consistent à documenter la base légalechoisie conformément aux articles 6, paragraphe 1, et éventuellement 9, paragraphe 2, du RGPD.

Lorsque l’article 6, paragraphe 1, point a), intitulé “consentement” est utilisé comme base légale, la documentation doit indiquer comment ce consentement a été recueilli (par exemple, au moyen d’un formulaire ou d’un dialogue) et justifier lamanière dont les exigences relatives au consentement énoncées aux articles 7 et 8 duRGPD sont remplies. Dans le cas où l’article 9(2)(a) consentement explicite” est choisi, une justification de la manière dont les exigences pour cette forme spéciale de consentement sont remplies doit être ajoutée. Le meilleur soutien à cet égard est fourni par le groupe de travail Article 29 dans ses “Lignes directrices sur le consentement”[15] .

Lorsque l’article 6, paragraphe 1, point f), intérêts légitimes poursuivis par le responsable du traitement ou par un tiers” est choisi, il est très important de noter que la base légale indique “sauf lorsque ces intérêts sont prépondérants au regard des intérêts ou des libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, en particulier lorsque la personne concernée est un enfant.” Pour être sûr que les intérêts de la personne concernée ne l’emportent pas sur l’intérêt légitime du responsable du traitement, un “test de mise en balance” supplémentaire (voir “Intérêt légitime et test de mise en balance” dans la partie II, section “Principaux outils et actions”) est nécessaire. La nature de ce test de mise en balance et la manière de le réaliser ont été décrites par le groupe de travail Article 29 dans son avis WP217[16] .

Les mesures visant à démontrer la conformité à l’article 5, paragraphe 1, point c) “Minimisation des données” sont des justifications selon lesquelles les données à caractère personnel collectées et traitées sont adéquates, pertinentes et limitées à ce qui est nécessaire pour atteindre les finalités fixées (voir “Minimisation des données” dans la partie II, section “Principes” des présentes lignes directrices) .

Les mesures visant à démontrer la conformité à l’article 5, paragraphe 1, point e), “Limitation du stockage” (voir “Limitation du stockage” dans la partie II, section “Principes”) consistent en une documentation qui justifie que les données ne sont conservées que le temps nécessaire à la réalisation des finalités (puis effacées) et que la pseudonymisation et l’anonymisation qui réduisent/suppriment l’identifiabilité des personnes concernées sont appliquées dès que possible pour les finalités (voir “Identification”, “Pseudonymisation” et “Anonymisation” dans la partie II des présentes lignes directrices, section “Concepts principaux”).

Bien qu’elle ne figure pas explicitement parmi les points soulevés par le groupe de travail, une mesure supplémentaire souhaitable serait la documentation des personnes et des destinataires auxquels les données sont légitimement divulguées.

2. Droits de la personne concernée : (voir la section “Droits de la personne concernée” dans la partie II)

Les points fournis par le groupe de travail Article 29 dans cette section reprennent la quasi-totalité des articles du chapitre 3 “Droits de la personne concernée”. Cela comprend les articles 12 à 14 du RGPD, qui concernent principalement la transparence, ainsi que les articles 15 à 21, qui concernent les droits spécifiques des personnes concernées.

Les mesures visant à démontrer le respect des obligations relatives au chapitre 3 consistent en une documentation des informations fournies aux personnes concernées et des moyens techniques ou organisationnels dont disposent les personnes concernées pour exercer ces droits.

De manière assez surprenante, le groupe de travail n’a pas inclus l’article 22 du RGPD parmi ses points, bien que la “prise de décision individuelle automatisée, y compris le profilage” comporte évidemment des risques élevés pour les personnes concernées. Il est donc recommandé de se pencher quand même sur le respect de cet article, le cas échéant. Une mesure appropriée pourrait être de documenter comment la personne concernée peut accéder au “droit d’obtenir une intervention humaine” mentionné à l’article 22, paragraphe 3.

3. Obligations du responsable du traitement et du sous-traitant :

Les points fournis par le groupe de travail Article 29 dans cette section consistent uniquement en deux articles du chapitre 4 du RGPD “Responsable du traitement et sous-traitant“, à savoir les articles 28 et 36.

L’article 28 concerne les sous-traitants. Les mesures qui démontrent le respect de cet article sont, par exemple, les suivantes :[17] :

  • Documentation des garanties fournies par le sous-traitant “pour mettre en œuvre les mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement” (article 28(1) RGPD).
  • Des mesures (telles que des clauses contractuelles) qui garantissent que “le sous-traitant [ne] fait pas appel à un autre sous-traitant sans l’autorisation écrite préalable, spécifique ou générale, du responsable du traitement.” (article 28, paragraphe 2, du RGPD).
  • Documentation d’un “contrat ou autre acte juridique” qui régit le traitement par les sous-traitants. Cela inclut les clauses qui garantissent les exigences énoncées à l’article 28, paragraphe 3, points a) à h).

L’article 36 concerne la “consultation préalable” de l’autorité de contrôle compétente si le risque résiduel reste élevé après la mise en œuvre de mesures d’atténuation appropriées. La mesure permettant de démontrer le respect de cet article consiste à documenter cette consultation et son résultat.

Au-delà des deux articles du chapitre 3 du RGPD qui ont été explicitement listés parmi les points par le groupe de travail, des mesures supplémentaires sont à la fois possibles et souhaitables. En voici quelques exemples :

  • Les mesures visant à démontrer la conformité à l’article 25 “protection des données dès la conception et par défaut” peuvent inclure la documentation sur la manière dont la protection des données a été intégrée dès la conception et le design de l’activité de traitement. Il peut s’agir, par exemple, d’exigences en matière de protection des données énoncées pour un développement personnalisé ou un appel d’offres, ou d’une analyse de la conformité à la protection des données au cours d’un processus de sélection (voir “Protection des données dès la conception et par défaut” dans la partie II, section “Concepts principaux” des présentes lignes directrices).
  • Les mesures visant à démontrer le respect des articles 33 et 34 relatifs à la notification et à la communication des violations de données pourraient consister à documenter les procédures internes permettant de gérer de telles situations.

4. Transferts de données personnelles vers des pays tiers ou des organisations internationales :

Dans cette section, le groupe de travail Article 29 fournit un point unique qui fait référence à l’ensemble du chapitre 5 du RGPD. Les mesures visant à démontrer la conformité dans cette section documentent les garanties en place qui protègent les personnes concernées dans la situation où leurs données sont transférées vers des zones où le RGPD n’est pas directement applicable. Parmi les mesures concrètes figurent la documentation de l’existence d’une décision d’adéquation de la Commission (article 45 du RGPD), l’adhésion à des règles d’entreprise juridiquement contraignantes (article 47 du RGPD) ou l’utilisation d’autres instruments juridiquement contraignants et exécutoires (article 46 du RGPD) (voir “Transferts de données vers des pays tiers” dans la partie II, section “Principaux outils et actions” des présentes lignes directrices).

Gestion des risques pour les droits et libertés des personnes concernées.

L’article 35, paragraphe 7, point c), impose d'”évaluer les risques pour les droits et libertés des personnes concernées”. Le considérant 84 indique en outre que le responsable du traitement effectuant une évaluation des risques liés au traitement doit “évaluer, en particulier, l’origine, la nature, la particularité et la gravité de ce risque”. Sur cette base, le groupe de travail Article 29 souligne que cette évaluation doit être faite du point de vue de la personne concernée et propose l’approche suivante :

  • Une liste des risques qui doivent être évalués et
  • une série d’étapes qui constituent une telle évaluation

Une AIPD doit donc aborder ces étapes pour chacun des risques.

Le groupe de travail énumère les risques suivants :

  1. l’accès illégitime [aux données personnelles],
  2. la modification non souhaitée [des données à caractère personnel], et
  3. la disparition des données.

De toute évidence, ces risques paraphrasent la formulation de l’article 5, paragraphe 1, point f), sur le principe d'”intégrité et de confidentialité”. Ils sont également cohérents avec “la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et services de traitement” énoncés à l’article 32(1)(b) du RGPD. Il est également possible de voir une équivalence directe avec les objectifs de protection utilisés en matière de sécurité informatique, à savoir la confidentialité, l’intégrité et la disponibilité.

Pour l’évaluation de chaque risque, le groupe de travail indique les éléments suivants :

  1. identifier les sources de risque (conformément au considérant 90)
  2. identifier les impacts potentiels de chaque risque sur les droits et libertés des personnes physiques
  3. identifier les menaces qui pourraient conduire à ces risques
  4. estimer la probabilité et la gravité des risques (conformément au considérant 90).

Sur cette base, compte tenu de la probabilité et de la gravité estimées de chaque risque, des mesures d’atténuation appropriées doivent être conçues, mises en œuvre et documentées dans le cadre de l’AIPD (comme le prévoient l’article 35, paragraphe 7, point d), et le considérant 90).

Étant donné que les principes d'”intégrité et de confidentialité” (voir “Intégrité et confidentialité” dans la partie II, section “Principes” des présentes lignes directrices) ainsi que les menaces énumérées sont typiques de la sécurité informatique, les mesures documentées ici sont bien connues de cette discipline. La principale différence avec la sécurité est l’estimation de la gravité ou des impacts qui sont évalués par rapport aux personnes affectées plutôt que par rapport à l’organisation responsable du traitement. Le fait que seule cette section concerne la sécurité informatique illustre encore plus la différence déjà abordée ci-dessus.

Participation des parties intéressées

Selon l’article 35, paragraphe 2, ” [l]e responsable du traitement demande l’avis du délégué à la protection des données, lorsqu’il est désigné, lorsqu’il procède à une analyse d’impact relative à la protection des données. ”

De même, selon l’article 35, paragraphe 9, ” [l]e responsable du traitement recueille, le cas échéant, l’avis des personnes concernées ou de leurs représentants sur le traitement envisagé, sans préjudice de la protection des intérêts commerciaux ou publics, ou de la sécurité des opérations de traitement. ”

Cette section de l’analyse de l’impact sur la protection des données documente le fait que ces deux exigences ont effectivement été satisfaites par le responsable du traitement. Lorsque l’avis des personnes concernées ou de leurs représentants a été sollicité, la documentation doit justifier pourquoi cet avis doit être considéré comme raisonnablement représentatif des personnes concernées. Lorsque l’avis n’a pas été sollicité, la documentation doit préciser pourquoi cela n’était pas utile ou possible.

 

 

  1. wp248rev.01, GROUPE DE TRAVAIL ARTICLE 29 SUR LA PROTECTION DES DONNÉES, Lignes directrices sur l’analyse d’impact sur la protection des données (AIPD) et la détermination du fait que le traitement est “susceptible d’entraîner un risque élevé” aux fins du règlement 2016/679, adoptées le 4 avril 2017, telles que révisées en dernier lieu et adoptées le 4 octobre 2017, https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611236 (dernière visite le 14/01/2020).
  2. Approbation des lignes directrices du RGPD WP29 par l’EDPB, https://edpb.europa.eu/news/news/2018/endorsement-RGPD-wp29-guidelines-edpb_en, Bruxelles, 25 mai 2018, point 6.
  3. https://edpb.europa.eu/
  4. wp248rev.01, page 17, section III.D.c), 4e paragraphe, surlignage par les auteurs.
  5. Annexe I du wp248rev.01, page 21.
  6. wp248rev.01, page 17, section III.D.c), 6e paragraphe, surlignage par les auteurs.
  7. wp248rev.01, page 17, section III.D.c), 6e paragraphe, surlignage par les auteurs.
  8. wp248rev.01, page 22, annexe II, 1er paragraphe.
  9. Les critères sont fournis dans un libellé qui est celui du critère d’évaluation. Dans ce document, le libellé est remplacé par des titres qui reflètent la structure. Par exemple, “une description systématique du traitement est fournie” est remplacé par “description systématique du traitement”. En outre, l’entrée unique de premier niveau correspondant à l’article 35, paragraphe 7, points c) et d), est divisée en deux entrées distinctes.
  10. Adapté de wp248rev.01, page 22, annexe II.
  11. Ceci est illustré par la technique cryptographique de l’intersection d’ensembles p+privés (voir https://en.wikipedia.org/wiki/Private_set_intersection).
  12. La notion de ressources comprend ici la capacité technique et la capacité économique, ainsi que la disponibilité d’informations supplémentaires accessibles à un joueur.
  13. Adapté de wp248rev.01, page 22, annexe II.
  14. Voir wp248rev.01, page 22, annexe 2, 1st puce sous “la nécessité et la proportionnalité sont évaluées”.
  15. wp259rev.01, GROUPE DE TRAVAIL ARTICLE 29 SUR LA PROTECTION DES DONNÉES, Lignes directrices sur le consentement en vertu du règlement 2016/679, adoptées le 28 novembre 2017, telles que révisées en dernier lieu et adoptées le 10 avril 2018, https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623051 (dernière visite le 29/01/2020).
  16. wp217, GROUPE DE TRAVAIL ARTICLE 29 SUR LA PROTECTION DES DONNÉES, Avis 06/2014 sur la notion d’intérêt légitime du responsable du traitement des données en vertu de l’article 7 de la directive 95/46/CE, adopté le 9 avril 2014, https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_en.pdf (dernière visite le 29/01/2020). Notez que si cet avis fait référence à la directive sur la protection des données plutôt qu’au RGPD, les concepts et méthodes devraient s’appliquer de la même manière.
  17. La liste d’exemples ne se veut pas exhaustive.

 

Aller au contenu principal