Tout savoir sur l’analyse d’impact relative à la protection des données (DPIA)

L’entrée en vigueur du RGPD va affecter le fonctionnement des entreprises, si ce n’est déjà fait. En effet, avec ce nouveau règlement, les entreprises devront investir du temps et de l’argent dans la mise en place de divers mécanismes pour optimiser la protection des données personnelles qu’elles traitent. Le RGPD sonne le glas de la fin de la course malhonnête vers l’augmentation du nombre de prospects et des pratiques douteuses pour obtenir le consentement des internautes.

L’une des plus grandes nouveautés apportées par le RGPD est l’obligation pour les entreprises de mener une analyse d’impact sur la protection des données (DPIA-Data Protection Impact Assessment) sur les traitements susceptibles de présenter un risque élevé pour les droits et libertés des personnes concernées. Découvrez tout ce qu’il faut savoir sur le DPIA.

Une analyse d’impact relative à la protection des données, c’est quoi ?

DPIA : un outil de responsabilisation et de protection

D’emblée, sachez que l’analyse d’impact (DPIA) est l’une des notions les plus importantes du RGPD. C’est un outil important pour responsabiliser les organismes. Et pour cause, le DPIA peut grandement aider dans la mise en place des traitements de données plus respectueux de la vie privée. Pour les autorités de contrôle, elle sert à déterminer si un traitement est bien conforme au nouveau règlement sur la protection des données.

Les principes de base de l’analyse d’impact

Le DPIA est obligatoire pour les traitements susceptibles d’engendrer des risques élevés pour la vie privée. Une fois que l’on a bien identifié le type de traitement, on pourra mener un DPIA. L’analyse d’impact repose sur 2 grands piliers :

  • Faire un rapprochement entre les principes fondamentaux du RGPD et les traitements effectués : finalités du traitement, durée de conservation des données, devoir d’information…
  • Analyse des risques portant sur la sécurité des données (condition d’accès, disparition de données, impact sur la vie privée…), pour faciliter la mise en place de mesures techniques efficaces pour protéger les données.

Pour information, sachez que contrairement à ce que certains le laisseraient entendre, DPIA (Data Protection Impact Assessment) et PIA (Privacy Impact Assessment) sont la même chose. Le terme utilisé varie seulement en fonction de la région du monde.

Notion de risque sur la vie privée

Un DPIA sera donc obligatoire pour sur les traitements pouvant engendrer d’important risque sur la vie privée, mais qu’est un risque sur la vie privée ? Selon la CNIL, un risque sur la vie privée est :

  • Un évènement redouté : disparitions de données, piratages, divulgation d’information non autorisée…
  • Et également tout évènement qui pourrait conduire à la réalisation de cet évènement redouté ;

Il faut noter qu’on doit toujours évaluer l’importance du risque en se plaçant du côté des personnes concernées et non de l’organisme.

Un DPIA peut porter sur un ensemble de traitements

Un DPIA peut très bien porter sur un ensemble de traitements. Ce sera par exemple le cas lorsqu’un opérateur ferroviaire effectuera une analyse d’impact sur le système de vidéosurveillance qu’il a déployé dans plusieurs gares.
À part cela, un DPIA peut aussi être mené par le fournisseur d’un produit matériel ou d’un logiciel. Cette démarche est même encouragée par le RGPD. Bien évidemment, cela n’empêche pas les responsables du traitement qui utiliseront le produit de faire leur propre DPIA.

DPIA : les cas où ce ne sera pas obligatoire

Un DPIA n’est pas nécessaire pour tous les traitements. On peut s’en passer dans les cas suivants :

  • Quand le traitement effectué n’engendre pas de risque élevé pour les droits et libertés des personnes concernées : traitement à grande échelle, décisions exclusivement basées sur l’automatisation, traitement de données sensibles, manipulation de données biométriques…
  • Lorsqu’un DPIA a été déjà mené sur un traitement présentant de nombreuses similarités avec le traitement qu’on envisage d’analyser ;
  • Quand le traitement est effectué en raison d’une obligation légale ou d’un lien avec l’accomplissement d’une mission de service public, dans les conditions imposées par l’art 6.1.c et l’art 6.1.e du RGPD ;
  • Quand le traitement figure parmi l’une des exceptions décrites dans la liste dressée par la CNIL (adoptée en 2018) ;

Les cas où un DPIA sera obligatoire

Un traitement devra faire l’objet d’un DPIA quand il est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes. Il sera également obligatoire lorsqu’il remplira l’un des 2 critères suivants :

  • Evaluation (profilage, scoring…) ;
  • Basé sur une décision purement automatique pouvant entrainer des effets juridiques ;
  • Surveillance à grande échelle et systématique (une entreprise qui surveille ses salariés) ;
  • Manipulation de données sensibles ;
  • Collecte de données sur une cible très large
  • Croisement de données ;
  • Traitement portant sur des personnes fragiles ou vulnérables (enfants, malades…) ;
  • Traitement utilisant une nouvelle technologie ;
  • Traitement aboutissant à l’exclusion du bénéfice d’un droit ou d’un contrat ;

Quand mener un DPIA ?

Un DPIA doit être mené avant la mise en œuvre d’un traitement. Il doit également être ralisé de façon régulière pour limiter les risques de fuites au minimum.

Quels sont les intervenants dans un DPIA ?

Le responsable du traitement est celui qui devrait mener un DPIA. S’il a désigné un DPO, le responsable devra demander conseil auprès de ce dernier pour vérifier la bonne exécution du DPIA. Et si, le traitement a nécessité l’intervention d’un sous-traitant, ce dernier devra également aider à la réalisation du DPIA.

Dans le meilleur des cas, le responsable du traitement devrait demander l’avis des personnes concernées par le DPIA. Enfin, la conduite d’un DPIA devrait prendre en considération les opinions des personnes chargées du système d’information et des équipes attachées à la mise en œuvre du traitement.

Comment bien mener un DPIA ?

Le RGPD ne donne pas une méthode précise pour mener un DPIA. Mais si l’on s’en tient à l’esprit du règlement, un DPIA devrait au moins contenir :

  • Une description des opérations de traitements (finalités, intérêt…) ;
  • Une analyse de la nécessité et de la proportionnalité des opérations de traitements par rapport aux finalités ;
  • Une analyse des risques sur les droits et libertés des cibles du traitement ;
  • Une description des mesures de protection envisagées (mécanismes de sécurité et garanties de protection des données manipulées) ;

Notez que la CNIL a conçu un guide assez précis portant sur la méthode à adopter pour mener un bon DPIA.

Dans quel cas doit-on transmettre les résultats de son DPIA à la CNIL ?

On est obligé de transmettre le DPIA à la CNIL quand :

  • Le niveau de risque résiduel reste encore élevé ;
  • La législation d’un État soumis au RPGD l’exige ;
  • La CNIL en fait la demande (contrôle) ;

À part cela, il faut noter que le DPIA peut être communiqué au tiers. Cela est même encouragé parce que ce partage entretient une relation de confiance.

Les sanctions

En cas de manquement aux obligations relatives à l’analyse d’impact, des sanctions assez sévères sont prévues par le RGPD : une amende pouvant atteindre les 10 000 000 d’euros ou les 2% du chiffre d’affaires de l’année précédente. Ce sera le montant le plus élevé qui sera retenu.