ACTU RGPD
Qu’est-ce que l’analyse d’impact relative a la protection des données (AIPD) ?
L’analyse d’impact est un outil important pour la responsabilisation des organismes : elle les aide non seulement à construire des traitements de données respectueux de la vie privée, mais aussi à démontrer leur conformité au RGPD. Elle concerne les traitements de données personnelles qui sont susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes concernées.
Quand est-ce qu’une analyse d’impact est nécessaire ?
- Quand le traitement envisagé figure dans la liste de traitements dont l’étude d’impact est obligatoirement à réaliser (https://www.cnil.fr/sites/cnil/files/atoms/files/liste-traitements-aipd-requise.pdf)
- Quand le traitement remplit au moins deux des neuf critères établis par le Comité Européen de la Protection des Données (CEPD) :
- Évaluation / scoring (y compris le profilage)
- Décision automatique avec effet légal ou similaire
- Surveillance systématique
- Collecte de données sensibles ou données à caractère hautement personnel
- Collecte de données personnelles à large échelle
- Croisement de données
- Personnes vulnérables (patients, personnes âgées, enfants, etc.)
- Usage innovant (utilisation d’une nouvelle technologie)
- Exclusion du bénéfice d’un droit/contrat.
Exemples de cas où l’AIPD est nécessaire :
- Un système de cybersurveillance des employés : dans ce cas, 2 critères sont réunis : la surveillance systématique et les personnes vulnérables
- Le traitement par un hôpital des données génétiques et de santé de ses patients : 3 critères sont réunis : le traitement de données sensibles, les personnes vulnérables et le traitement à grande échelle
En revanche, les traitements de données « de patients ou de clients par un médecin, un autre professionnel de la santé ou un avocat exerçant à titre individuel » ne nécessitent pas obligatoirement une analyse d’impact.
Quand est-ce qu’une analyse d’impact n’est pas nécessaire ?
- Quand le traitement figure sur la liste des exceptions adoptée par la CNIL (https://www.cnil.fr/sites/cnil/files/atoms/files/liste-traitements-aipd-nonrequise.pdf)
- Quand une AIPD a déjà été menée pour un traitement similaire
- Quand le traitement répond à une obligation légale ou est nécessaire à l’exercice d’une mission de service public.
Que contient l’analyse d’impact sur la protection des données ?
- Une description détaillée du traitement mis en œuvre, comprenant tant les aspects techniques qu’opérationnels (acteurs, description des données personnelles collectées, des destinataires, durées de conservation, etc.)
- L’évaluation de la nécessité et de la proportionnalité concernant les principes et droits fondamentaux (finalité, données et durées de conservation, information et droits des personnes, etc.) doivent être respectés
- L’étude des risques sur la sécurité des données (confidentialité, intégrité et disponibilité) ainsi que leurs impacts potentiels sur la vie privée, qui permet de déterminer les mesures techniques et organisationnelles nécessaires pour protéger les données.
SOYEZ CONFORME ET SEREIN, FAITES APPEL A BDL
Notre cabinet vous accompagne dans la mise en conformité de votre structure à la réglementation RGPD, à travers la réalisation d’un audit état des lieux de votre entreprise afin d’évaluer votre niveau de conformité puis de la mise en œuvre de procédures RGPD adaptées à vos besoins et à votre organisme.
Florine BEAUSSIRE – Responsable RGPD
Tél : 03 74 78 01 50
Email : [email protected]