Analyse d'impact relative à la protection des données

En vertu du nouveau règlement, il est obligatoire, dans certaines circonstances, de procéder à une "analyse d'impact relative à la protection des données" - en abrégé "AIPD" (ou "DPIA" en anglais pour Data Protection Impact Assessment). Une AIPD est une procédure destinée à évaluer si un traitement de données à caractère personnel comporte des risques pour les droits et libertés de la personne dont les données sont traitées et à évaluer la manière dont ces risques peuvent être maîtrisés. Cette nouvelle obligation soulève plusieurs questions pratiques.

POURQUOI ?

COMMENT ?

L'obligation de procéder à une AIPD a été élaborée dans le contexte de la Directive 95/46/CE qui prévoyait une obligation générale de notifier chaque traitement de données à caractère personnel à l'autorité de contrôle (la Commission vie privée en Belgique). Cette obligation générait une charge administrative et financière, sans nécessairement améliorer le niveau de protection pour les données à caractère personnel.

Le nouveau système met dès lors l'accent sur l'obligation du responsable du traitement de réaliser une AIPD préalable pour les traitements "susceptibles d'engendrer un risque élevé" et sur les mesures pouvant être prises afin de réduire ces risques.

Une AIPD doit contenir les éléments suivants :

  • une description détaillée et claire des opérations de traitement envisagées et des finalités. Le registre des opérations de traitement peut être indicatif dans ce cadre ;
  • une évaluation de la nécessité et de la proportionnalité des traitements en fonction des finalités ;
  • une appréciation des risques pour les droits et libertés des personnes concernées ;
  • les mesures envisagées pour faire face aux risques.

QUAND ?

QUI ?

Une AIPD n'est requise que lorsque le traitement de données, compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques. En outre, le nouveau règlement énumère un certain nombre de cas où une AIPD est toujours requise :

  • en cas de profilage ;
  • en cas de traitement à grande échelle de catégories particulières de données à caractère personnel ou de données relatives à ces condamnations pénales et à des infractions ;
  • en cas de surveillance systématique à grande échelle d'une zone accessible au public.

Enfin, le nouveau règlement offre aux contrôleurs nationaux la possibilité d'établir des listes des types d'opérations de traitement pour lesquelles une AIPD est ou non requise.




L'obligation de procéder à une AIPD incombe en premier lieu au responsable du traitement. Il est celui qui endosse la responsabilité finale et qui est responsable si l'AIPD n'est pas (ou pas correctement) réalisée lorsque celle-ci est obligatoire en vertu du nouveau règlement.

Le responsable du traitement veille à ce que les bonnes personnes au sein de l'entreprise soient impliquées dans le processus d'appréciation du risque. Pensons ici en premier lieu :

  • au délégué à la protection des données et/ou au conseiller en sécurité ;
  • aux concepteurs de nouvelles application ;
  • à ceux qui prennent des décisions stratégiques en matière de développement de projets ;
  • aux membres du personnel (ou à leurs représentants) qui utiliseront les données à caractère personnel dans le cadre de l'exercice de leurs missions.

Le rôle du sous-traitant

Le sous-traitant doit, en fonction de la nature du traitement, assister le responsable du traitement dans l'exécution d'une AIPD. Cela doit être défini dans le contrat de sous-traitance entre le responsable du traitement et le sous-traitant.

Lors de l'appréciation de cette obligation d'assistance du sous-traitant, l'autorité de contrôle tiendra compte :

  • de la nature du traitement ;
  • des informations mises à disposition du sous-traitant ; 
  • de l'opportunité de l'aide du sous-traitant afin de parvenir à une analyse et à une gestion des risques correctes et de qualité.

Le rôle du DPD

Il est évident qu'une fois désigné, le délégué à la protection des données ("DPD") assiste le responsable du traitement et le conseille dans l'exécution d'une AIPD. Le RGPD définit également cet aspect explicitement.

Étant donné que le responsable du traitement doit prendre toutes les mesures nécessaires pour veiller à ce que les bonnes personnes au sein de l'entreprise soient impliquées dans le processus d'appréciation du risque, il serait peu souhaitable que le délégué à la protection des données rédige une AIPD entièrement seul, sans la contribution des acteurs pertinents.

Le rôle des personnes concernées

La décision de procéder ou non à la consultation des personnes concernées (ou de leurs représentants) appartient en premier lieu au responsable du traitement. Sa décision est toutefois sujette à un contrôle marginal de l'autorité de contrôle. En d'autres termes, la consultation des personnes concernées (ou de leurs représentants) n'est donc pas entièrement facultative pour le responsable du traitement.

Lorsqu'il existe suffisamment de motifs importants de procéder à une telle consultation, compte tenu de la nature, du contexte, de la portée et de la finalité du traitement, ainsi que de l'impact potentiel sur les personnes concernées, l'autorité de contrôle estime nécessaire qu'une telle consultation ait effectivement lieu.