Qu’est-ce que l’analyse d’impact version RGPD (DPIA – EIVP – PIA) ?

Le Règlement Général sur la Protection des Données (RGPD) vient modifier l’environnement des affaires et de la sécurité informatique en imposant de nouvelles obligations aux entreprises et aux organismes manipulant d’importantes données personnelles. Et la réalisation d’une Analyse d’Impact relative à la Protection des Données (DPIA ou Data Protection Impact Assessment) figure parmi l’un des plus grands points imposés par le RGPD.

En réalité, la DPIA n’est pas une nouveauté. Avant le RGPD, on parlait simplement d’analyse de risques (PIA) qui était traduit en français par une “Etude d’Impact sur la Vie Privée” (EIVP); L’analyse d’impact est une analyse de risques + la mesure de l’impact sur les personnes concernées par le traitement en cas survenance du risque. Même si les termes ont évolué, le but reste le même : une analyse des risques portant sur la protection des données. Pour rappel, le terme

La DPIA est évoquée dans l’article 35 du RGPD. Déjà, il faut dire que la DPIA est obligatoire, mais pas pour l’ensemble des traitements. Elle ne s’impose qu’aux traitements présentant « un risque élevé pour les droits et libertés des personnes physiques ». Malgré les précisions apportées par le RGPD (traitement à grande échelle, traitements de données sensibles…), l’application de la DPIA ne va pas de soi. Et la CNIL joue un rôle important dans le processus.

Qu’est-ce qu’une DPIA ?

La DPIA est avant tout une démarche visant à inciter (ou à forcer) les organismes concernés à construire un processus de traitements de données plus respectueux de la vie privée, et bien évidemment à démontrer leur respect du RGPD. Elle s’applique essentiellement aux organismes effectuant des « traitements susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes concernées ».
Le RGPD ne donne pas de définition précise de la DPIA. Les organismes qui y sont soumis ont donc une certaine latitude dans son application. Néanmoins, la DPIA doit toujours reposer sur 2 grands piliers :

  • Une évaluation du système de traitement actuel basée sur une analyse comparative avec les principes et droits fondamentaux (finalités, durée de conservation des données, droits des personnes…).
  • Une étude des risques sur la sécurité des données (abus, accès aux données personnelles, disparition des données…).

Dans une large mesure, la DPIA existe pour aider les organismes concernés à mettre en place des mesures juridiques et techniques pour mieux organiser et mieux protéger leurs données.

Dans quel cas une DPIA est obligatoire ?

Description du RGPD :

Le RGPD ne précise pas les cas où le DPIA est obligatoire. Son art 35-1 dit seulement que la DPIA est obligatoire pour les « traitements présentant un risque élevé pour les droits et libertés des personnes physiques ». Malgré tout, certains exemples sont explicitement cités par le RGPD. Ainsi sera obligatoire pour :

  • Les traitements à grande échelle (plus la quantité de données à traiter est importante, plus les risques d’atteinte aux droits des personnes sont élevés) ;
  • La surveillance systématique à grande échelle d’une zone ouverte au public
  • Traitements de données personnelles et sensibles (opinion politique, orientation sexuelle, information de santé…
  • Évaluation ou notation basées sur l’utilisation de données personnelles (conception de stratégie marketing, profilage, prédiction…)
  • Manipulation de données biométriques ou de données en rapport avec des condamnations pénales et à des infractions ;

Rôle de la CNIL et indication du G29 :

Vous l’aurez compris, la précédente liste n’est pas exhaustive. C’est pourquoi il appartient à la CNIL de dresser la liste des traitements nécessitant une DPIA ou non. À part cela, le Groupe de travail 29 (G29) a défini une liste permettant de déterminer quand une DPIA sera obligatoire. Ainsi, le DPIA sera obligatoire dès que 2 des critères suivants seront remplis par un traitement :

  • Évaluation ou scoring (étude de marché, profilage…) ;
  • Collecte de données à grande échelle (renflouage du portefeuille client) ;
  • Croisement et combinaison de données ;
  • Traitements de données portant sur des personnes vulnérables (enfants, malades, personnes âgées, employés…) ;
  • Traitement utilisant de nouvelles technologies (objets connectés, nouvelle application mobile…);
  • Surveillance systématique (vidéosurveillance d’un lieu public);
  • Décision automatique entrainant des effets légaux ou similaires ;
  • Traitements susceptibles d’exclure une personne du bénéfice d’un droit ou d’un contrat (utilisation par les banques de bases de données de référence pour décider de l’accord d’un prêt);
  • Collecte de données sensibles (données présentant un haut risque pour la vie privée) ;
  • Transfert de données en dehors de l’UE ;

À partir de quand cette obligation sera-t-elle applicable ?

L’obligation de faire une DPIA s’appliquera aux traitements réalisés à partir du 25 mai 2018. Le GW29 propose cependant d’effectuer une DPIA sur les traitements prévus par l’article 35 du RGPD. Dans tous les cas, une DPIA doit être réalisée avant la mise en application d’un traitement. Elle doit aussi être faite régulièrement pour limiter les risques d’atteintes aux droits et libertés des personnes. Par ailleurs, les traitements mis en oeuv re avant le 25 mai devront faire l’objet (si nécessaire) d’une DPIA dans les 3 ans

Comment réaliser une analyse d’impact relative à la protection des données (DPIA) ?

Comme dit plus haut, le RGPD ne prévoit pas de forme spécifique pour la réalisation d’une DPIA. Il appartient donc au Responsable du Traitement (RT) de se baser sur l’esprit du RGPD pour réaliser une DPIA légale et efficace. Sinon, il peut tout simplement suivre les indications da la CNIL et du GW29. La démarche peut être résumée en 4 grandes étapes :

Contexte :

Il s’agit de définir le contexte du ou des traitements considérés : identifier les finalités, les enjeux et la durée de conservation des données. Il faudra également faire le point sur les moyens supports des traitements : identification du matériel, des réseaux, du support d’information… Le but de cette première étape est d’évaluer « la nécessite et la proportionnalité des opérations de traitement au regard des finalités ».

Mesures

Faire le point sur les mesures prévues par la loi pour la résolution des éventuels écarts à la règlementation (droits des personnes et mesures à prendre en interne).

Risques

L’évaluation des risques est importante. Pour faciliter l’analyse, cette évaluation peut être faite en 2 temps. Dans un premier temps on notera tous les points à craindre sur le traitement (divulgation, détérioration des données, corruption des données…) tout en évaluant la gravité des risques en cause. Dans un deuxième temps, il s’agira d’identifier les menaces et leurs sources. On mettra en place de nombreux scénarios pour identifier la vulnérabilité et le potentiel des mesures de sécurité. La mise en scénario va permettre de mieux identifier les risques et donc, dans une large mesure, de faciliter le choix des mesures pour les traiter.

Décision

Ici, il s’agira de prendre des mesures pour minimiser les risques relevés au niveau des traitements. Si les mesures ne sont pas suffisantes, il faudra mettre en place un plan d’action pour en proposer de nouvelles. On répétera l’opération jusqu’à ce que le niveau de risques soit acceptable, et dans l’idéal, très faible. Le risque résiduel devra être accepté par le Responsable de traitement.

Le rôle de la CNIL dans l’accompagnement des organismes concernés par la DPIA est très important. Les directives qu’elle émet peuvent grandement faciliter le travail des professionnels chargés d’assister ces organismes dans le processus de mise en conformité avec la règlementation en vigueur.

Conclusion

L’obligation d’effectuer une DPIA ne doit pas être prise à la légère. Un manquement à cette obligation peut entrainer des amendes pouvant s’élever jusqu’à 10 000 000 d’euros. Pour les entreprises, jusqu’à 2% du chiffre d’affaires annuel de l’exercice précédent.

Cette sévérité se comprend dans la mesure où de nos jours, les moyens technologiques permettent non seulement de traiter une quantité phénoménale de données, mais surtout de divulguer et de partager des informations sensibles (hausse de la cybercriminalité, faille technique…).

Une protection efficace doit être mise en place pour protéger la vie privée dans un monde où tout va dans le sens du partage, de la recherche du buzz et de la recherche du profit, souvent au détriment du respect de la loi. Par ailleurs, le logiciel RGPD : Privacil vous permet de réaliser des DPIA.