La réalisation d’une analyse d’impact relative à la protection des données (tout un programme) ou Data Protection Impact Assessment (DPIA) est une obligation singulière prescrite par le Règlement général sur la protection des données (RGPD). Lorsqu’une organisation effectue un traitement présentant un risque accru pour les droits et libertés des personnes concernées, une telle AIPD est recommandée, voire obligatoire dans certains cas. Il incombe au DPD, le délégué à la protection des données, d’évaluer (et de conseiller) une AIPD. Une telle évaluation peut également être faite par une autorité de contrôle, par exemple dans le cadre d’une inspection. Mais quels sont les conseils ou ‘beautés’ à appliquer pour évaluer une AIPD ?
Conseil 1 : Délimitez le traitement afin que la portée soit claire. Les limites d’une AIPD ne sont pas nécessairement définies par les frontières de la responsabilité du traitement. La portée d’une AIPD est principalement déterminée par les activités de traitement qui, effectuées conjointement, entraînent un risque accru pour la personne concernée. On peut ainsi limiter l’AIPD d’une application de santé à l’application elle-même, même si on peut inclure dans l’analyse le téléchargement de l’application à partir de la boutique d’applications (ce qui peut impliquer une forme de profilage).
Conseil 2 : Décrivez clairement les finalités du traitement et les activités de traitement qui y sont liées. La personne qui lit l’AIPD (une autorité de contrôle, par exemple) doit comprendre les activités de traitement de manière claire et compréhensible. Utilisez des schémas clairs et un langage simple (c’est-à-dire pas trop techniques ou juridique) pour expliquer les opérations de traitement.
Conseil 3 : Une AIPD qui n’évalue pas la nécessité et la proportionnalité… n’est pas une AIPD. Vous devez donc aborder dans votre AIPD les raisons pour lesquelles les activités de traitement sont nécessaires et expliquer que les activités de traitement que vous menez sont proportionnées à la finalité du traitement.
Conseil 4 : Une AIPD n’est pas une simple analyse de conformité. L’essence même de l’AIPD est d’expliquer les risques qui pèsent sur les droits et libertés de la personne concernée et les mesures que vous mettez en place pour atténuer ces risques. De nombreuses AIPD manquent de créativité et se limitent, par exemple, à la question de savoir quelle est la probabilité que le droit d’une personne concernée ne puisse pas être exercé ou qu’une fuite de données se produise. Une AIPD détecte des risques tels que, par exemple, l’exclusion (à tort) d’un individu sur la base d’un score de crédit.
Conseil 5 : Décrire le risque ne le fera pas disparaître. Un risque élevé n’est pas atténué par le simple fait de mettre quelques mots sur le papier. Soyez honnête dans l’évaluation du risque résiduel et n’exagérez pas son impact sur le risque. Une analyse d’impact relative au transfert de données (Data Transfer Impact Assessment), par exemple, n’éliminera pas en soi le risque lié à un transfert de données.
Conseil 6 : Mettez réellement en œuvre les mesures que vous décrivez. Une AIPD n’est vraiment efficace que si vous appliquez réellement les mesures décrites. Cela commence par une explication des risques et des mesures à l’intention de toutes les personnes impliquées dans le traitement.
Conseil 7 : Identifiez les critères pour une réévaluation de l’AIPD. Il y a en gros deux situations qui conduisent à une réévaluation : le suivi du risque, d’une part, et la réévaluation en cas de changement (du contexte) de l’activité de traitement, d’autre part. Le premier cas fait partie des critères de garantie, le second est souvent initié par ce que l’on appelle un ‘changement de finalité’, où de nouvelles activités de traitement sont mises en place pour améliorer le produit ou le service.
Vous voulez en savoir plus sur les AIPD et sur la manière de les réaliser ou de les évaluer ? Inscrivez-vous à notre formation « Analyses d’impact RGPD : DTIA & DPIA ». La formation DTIA & DPIA est destinée au DPD/professionnel de la protection de la vie privée qui est régulièrement confronté à l’évaluation ou la réalisation d’analyses de traitements de données à caractère personnel à risque et/ou au transfert international de données à caractère personnel.