RGPD : Quand faire une analyse d’impact en Belgique ?

Comme le définissent les lignes directrices WP 248 rev. 01 du groupe de travail “Article 29”, une analyse d’impact du traitement des données (AIPD) a pour objet de “décrire le traitement, d’évaluer sa nécessité et sa proportionnalité et d’aider à gérer les risques pour les droits et libertés des personnes physiques associés au traitement de leurs données à caractère personnel, en les évaluant et en déterminant les mesures nécessaires pour y faire face”.

Le RGPD exige qu’une analyse d’impact soit réalisée par le responsable du traitement (et pas par le sous-traitant, qui doit simplement l’assister) lorsqu’un traitement est “susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées”.

Que cela signifie-t-il concrètement ?

RGPD

Le RGPD énumère 3 cas précis dans lesquelles il existe nécessairement un tel risque potentiel et où une analyse d’impact obligatoire doit avoir lieu :

l’évaluation systématique et approfondie d’aspects personnels fondés sur un traitement automatisé et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative,
le traitement à grande échelle de données particulières ou de données pénales,
la surveillance systématique à grande échelle d’une zone accessible au public.

Hypothèses ajoutées par l’Autorité de protection des données

Par ailleurs, le RGPD invite les autorités de contrôle national à compléter cette liste.

L’Autorité de protection des données belge a ajouté 8 cas dans lesquels la réalisation d’une analyse d’impact est exigée :

Si le traitement utilise des données biométriques pour identifier de façon unique des personnes se trouvant dans un lieu public ou dans un lieu privé accessible au public,
Si des données sont collectées auprès de tiers afin de refuser ou de cesser un contrat de services déterminé avec une personne,
Si des données de santé sont collectées automatiquement à l’aide d’un dispositif médical implantable, en totalité ou en partie dans le corps humain,
Si des données sont collectées à grande échelle pour analyser ou prédire la situation économique, la santé, les préférences, centres d’intérêts, la fiabilité, le comportement, la localisation et les déplacements d’une personne,
- soit auprès de tiers,
- soit au moyen de capteurs (« internet des objets»),
Si des données particulières (anciennes données sensibles) ou des données concernant la pauvreté, le chômage, l’implication de l’aide à la jeunesse ou le travail social, les activités domestiques et privées, les données de localisation sont échangées systématiquement entre plusieurs responsables du traitement,
Si des données de communication, métadonnées, données de localisation sont traitées à grande échelle ou de manière systématique et que ce traitement n’est pas strictement nécessaire pour le service demandé, par exemple le wifi-tracking ou le traitement de données de localisation des voyageurs dans les transports publics,
Si on observe le comportement de personnes de manière systématique via un traitement automatisé à grande échelle, y compris à des fins publicitaires. On est ici proche du premier des trois cas précisés par le RGPD. Cependant, il n’est pas nécessaire qu’une décision négative puisse être prise à l’encontre de la personne concernée. Le seul suivi de son comportement suffit.

Traitements dispensés d’analyse d’impact

L’Autorité de protection des données belge a par ailleurs épinglé 9 cas dans lesquels une analyse d’impact ne doit pas être effectuée. Il s’agit des traitements :

nécessaires pour répondre à une obligation légale (pour autant que la loi définisse précisément les conditions du traitement),
nécessaires à l’administration des salaires,
qui concernent exclusivement l’administration du personnel en service. Cependant, cette exonération tombe dès que le traitement porte sur des données relatives à la santé, des données particulières ou des données pénales, ce qui sera fréquemment le cas.
qui concernent exclusivement la comptabilité,
qui concernent exclusivement l’administration des actionnaires et associés,
effectués par une fondation, association ou toute autre institution sans but lucratif dans le cadre de ses activités habituelles et qui portent uniquement sur des données relatives à ses propres membres, aux personnes avec lesquelles elle entretient des contacts réguliers ou aux bénéficiaires de cette institution et pour autant qu’aucune base de données obtenue de tiers ne soit utilisée,
portant sur l’enregistrement des visiteurs dans le cadre d’un contrôle d’accès, pour autant que vous vous limitiez à noter le nom, l’adresse professionnelle, l’employeur, le véhicule, le nom, la section et la fonction de la personne visitée, le moment de la visite,
par les écoles en vue de la gestion de leurs relations avec les élèves potentiels, actuels et anciens,
portant que la gestion de la clientèle ou des fournisseurs existants ou anciens. Cette exonération tombe également dès que sont traitées les données des catégories particulières de données ou des données pénales ou des données provenant d’un tiers.

Zone grise

Entre ces traitements « de la liste blanche » et les traitements « de la liste noire » se situe une large zone grise dans laquelle le responsable du traitement doit évaluer lui-même si le traitement présente un risque élevé pour les droits des personnes concernées.

Pour l’aider, l’Autorité de protection des données, dans la lignée du Contrôleur européen de la protection des données, a identifié neuf critères qui doivent mener le responsable de traitement à réaliser une analyse d’impact. Lorsque 2 critères sont rencontrés, une analyse d’impact est présumée nécessaire.

Ces critères sont :

traiter des données particulières, des données pénales ou des données considérées comme à caractère hautement personnel (par exemple, communication électronique, données de localisation, données financières),
traiter des données concernant des personnes vulnérables (enfants, travailleurs, personnes souffrant d’une maladie mentale, demandeurs d’asile, personnes âgées, patients).
traiter à grande échelle,
croiser des ensembles de données,
évaluer (le rendement au travail, la situation économique, la santé, les préférences, les centres d’intérêts, la fiabilité, le comportement ou la localisation ou les déplacements).
prendre une décision automatisée avec effet juridique ou effet significatif,
empêcher les personnes concernées d’exercer un droit ou de bénéficier d’un service ou d’un contrat,
surveiller systématiquement,
utiliser de nouvelles solutions technologiques ou organisationnelles (exemple, reconnaissance combinée des empreintes digitales et de la reconnaissance faciale).

Si 2 de ces critères sont rencontrés mais que vous estimez qu’il n’y a pas de risque élevé pour les personnes concernées, vous devez motiver et documenter votre raisonnement.

Our advice:

Vérifiez si les traitements de données que vous effectuez :

tombent dans les cas obligatoires (listés par le RGPD ou par l’Autorité de protection des données).
rencontrent au moins 2 clignotants relevés par l’Autorité de protection des données.

Dans ces 2 cas, vous devez réaliser une analyse d’impact.

La méthode est laissée à votre appréciation. Elle doit reprendre les éléments listés par l’article 35.7 du RGPD. Des conseils sont dispensés par l’Autorité de protection des données.

Il est possible d’utiliser un logiciel gratuit, tel que celui mis à disposition par l’autorité de contrôle française, la CNIL.

Vous pouvez également vous faire assister dans cette démarche parfois fastidieuse, qui peut faire l’objet d’un chèque-entreprises « cyber sécurité ».

Keywords: GDPR , Privacy

Cookie	Type	Duration	Description
_wpas_session	session	30 minutes	This cookie is used by Awesome Support (online consultation / SOS) to keep track of website state between page loads and to store temporary information essential to the website's ability to work properly.More info: https://getawesomesupport.com/documentation/awesome-support/cookies/
cookielawinfo-checkbox-necessary	persistent	11 months	This cookie is set by GDPR Cookie Consent plugin. The purpose of this cookie is to check whether or not the user has given the consent to the usage of cookies under the category 'Necessary'.
cookielawinfo-checkbox-non-necessary	persistent	11 months	This cookie is set by GDPR Cookie Consent plugin. The purpose of this cookie is to check whether or not the user has given their consent to the usage of cookies under the category 'Non-Necessary'.
PHPSESSID	session		This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookie and is deleted when all the browser windows are closed.
pll_language	persistent	1 year	This cookie is set by Polylang and is used to remember the language selected by the user when he comes back to visit again the website. This cookie is also used to get the language information when not available in another way. Examples are ajax requests or the login page.More info: https://polylang.pro/doc/is-polylang-compatible-with-the-eu-cookie-law/
viewed_cookie_policy	persistent	1 hour	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
woocommerce_cart_hash	session		This cookie is set by WooCommerce and is used to help WooCommerce determine when cart contents/data changes.More info: https://docs.woocommerce.com/document/woocommerce-cookies/
woocommerce_items_in_cart_	session		This cookie is set by WooCommerce and is used to help WooCommerce determine when cart contents/data changes.More info: https://docs.woocommerce.com/document/woocommerce-cookies/
wordpress_[hash]	session		This cookie is set by Wordpress and is used to store the authentication details on login. The authentication details include the username and double hashed copy of the password. However, this usage of the cookie is limited to the admin console area, the backend dashboard of the website.Here [hash] represents the value that is obtained by applying a specific mathematical formula applied to the username and password. It is to ensure that the input values are safe, and no one can access these data using the cookies as it is difficult to ‘unhash’ the hashed data.More info : https://wordpress.org/support/article/cookies/
wordpress_logged_in_[hash]	persistent	14 days	This cookie is set by Wordpress and is used to indicate when you are logged in, and who you are. This cookie is maintained on the front-end of the website as well when logged in.More info: https://wordpress.org/support/article/cookies/
wordpress_test_cookie	session		This cookie is set by Wordpress and is used to store the authentication details on login. The authentication details include the username and double hashed copy of the password. However, this usage of the cookie is limited to the admin console area, the backend dashboard of the website.Here [hash] represents the value that is obtained by applying a specific mathematical formula applied to the username and password. It is to ensure that the input values are safe, and no one can access these data using the cookies as it is difficult to ‘unhash’ the hashed data.More info: https://wordpress.org/support/article/cookies/
wp_woocommerce_session_	persistent	2 days	This cookie is set by WooCommerce. It contains a unique code for each customer so that it knows where to find the cart data in the database for each Customer.More info: https://docs.woocommerce.com/document/woocommerce-cookies/
wp-settings-{time}-[UID]	persistent	1 year	This cookie is set by Wordpress and is used to customize the view of your admin interface and the front-end of the website. The value represented by [UID] is the individual user ID of the user as given to them in the users' database table.More info: https://wordpress.org/support/article/cookies/

Cookie	Type	Duration	Description
_ga	third party	2 years	This cookie is installed by Google Analytics 4. The cookie is used to distinguish users for the site's analytics report.Opt-out: https://tools.google.com/dlpage/gaoptout/More info: https://developers.google.com/analytics/devguides/collection/analyticsjs/cookie-usage
_ga_	third party	2 years	This cookie is installed by Google Analytics 4 to persist session state.Opt-out: https://tools.google.com/dlpage/gaoptout/More info: https://developers.google.com/analytics/devguides/collection/analyticsjs/cookie-usage

Cookie	Type	Duration	Description
GPS	third party	30 minutes	This cookie is set by YouTube and registers a unique ID for tracking users based on their geographical locationMore info: https://policies.google.com/technologies/types?hl=en
IDE	third party	2 years	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.More info: https://policies.google.com/technologies/types?hl=en
VISITOR_INFO1_LIVE	third party	5 months	This cookie is set by YouTube. Used to track the information of the embedded YouTube videos on a website.More info: https://policies.google.com/technologies/types?hl=en
YSC	third party		This cookie is set by YouTube and is used to track the views of embedded videos.More info: https://policies.google.com/technologies/types?hl=en