Le 1er avril dernier est entrée en vigueur la liste des cas dans lesquels l’Autorité de protection des données belge estime qu’une analyse d’impact doit obligatoirement être réalisée.
Petit récapitulatif :
Cadre
Pour rappel, le RGPD exige qu’une analyse d’impact soit réalisée par le responsable du traitement (et pas par le sous-traitant, qui doit simplement l’assister) lorsqu’un traitement est “susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées”. Que cela signifie-t-il concrètement ?
RGPD
Ce concept de risques élevés est explicité par le RGPD pour 3 cas précis :
- l’évaluation systématique et approfondie d’aspects personnels fondés sur un traitement automatisé et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative,
- le traitement à grande échelle de données particulières ou de données pénales,
- la surveillance systématique à grande échelle d’une zone accessible au public.
Hypothèses ajoutées par l’Autorité de protection des données
Par ailleurs, le RGPD invite les autorités de contrôle national à compléter cette liste.
Depuis le 1er avril 2019, l’Autorité de protection des données belge a ajouté 8 cas dans lesquels la réalisation d’une analyse d’impact est exigée :
- Si le traitement utilise des données biométriques pour identifier de façon unique des personnes se trouvant dans un lieu public ou dans un lieu privé accessible au public,
- Si des données sont collectées auprès de tiers afin de refuser ou de cesser un contrat de services déterminé avec une personne,
- Si des données de santé sont collectées automatiquement à l’aide d’un dispositif médical implantable, en totalité ou en partie dans le corps humain,
- Si des données sont collectées à grande échelle pour analyser ou prédire la situation économique, la santé, les préférences, centres d’intérêts, la fiabilité, le comportement, la localisation et les déplacements d’une personne,
- soit auprès de tiers,
- soit au moyen de capteurs (« internet des objets»),
- Si des données particulières (anciennes données sensibles) ou des données concernant la pauvreté, le chômage, l’implication de l’aide à la jeunesse ou le travail social, les activités domestiques et privées, les données de localisation sont échangées systématiquement entre plusieurs responsables du traitement,
- Si des données de communication, métadonnées, données de localisation sont traitées à grande échelle ou de manière systématique et que ce traitement n’est pas strictement nécessaire pour le service demandé, par exemple le wifi-tracking ou le traitement de données de localisation des voyageurs dans les transports publics,
- Si on observe le comportement de personnes de manière systématique via un traitement automatisé à grande échelle, y compris à des fins publicitaires. On est ici proche du premier des trois cas précisés par le RGPD. Cependant, il n’est pas nécessaire qu’une décision négative puisse être prise à l’encontre de la personne concernée. Le seul suivi de son comportement suffit.
Traitements dispensés d’analyse d’impact
L’Autorité de protection des données belge a par ailleurs épinglé 9 cas dans lesquels une analyse d’impact ne doit pas être effectuée. Il s’agit des traitements :
- nécessaires pour répondre à une obligation légale (pour autant que la loi définisse précisément les conditions du traitement),
- nécessaires à l’administration des salaires,
- qui concernent exclusivement l’administration du personnel en service. Cependant, cette exonération tombe dès que le traitement porte sur des données relatives à la santé, des données particulières ou des données pénales, ce qui sera fréquemment le cas.
- qui concernent exclusivement la comptabilité,
- qui concernent exclusivement l’administration des actionnaires et associés,
- effectués par une fondation, association ou toute autre institution sans but lucratif dans le cadre de ses activités habituelles et qui portent uniquement sur des données relatives à ses propres membres, aux personnes avec lesquelles elle entretient des contacts réguliers ou aux bénéficiaires de cette institution et pour autant qu’aucune base de données obtenue de tiers ne soit utilisée,
- portant sur l’enregistrement des visiteurs dans le cadre d’un contrôle d’accès, pour autant que vous vous limitiez à noter le nom, l’adresse professionnelle, l’employeur, le véhicule, le nom, la section et la fonction de la personne visitée, le moment de la visite,
- par les écoles en vue de la gestion de leurs relations avec les élèves potentiels, actuels et anciens,
- portant que la gestion de la clientèle ou des fournisseurs existants ou anciens. Cette exonération tombe également dès que sont traitées les données des catégories particulières de données ou des données pénales ou des données provenant d’un tiers.
Zone grise
Entre ces traitements « de la liste blanche » et les traitements « de la liste noire » se situe une large zone grise dans laquelle le responsable du traitement doit évaluer lui-même si le traitement présente un risque élevé pour les droits des personnes concernées.
Pour l’aider, l’Autorité de protection des données, dans la lignée du Contrôleur européen de la protection des données, a identifié neuf critères qui doivent mener le responsable de traitement à réaliser une analyse d’impact. Lorsque 2 critères sont rencontrés, une analyse d’impact est présumée nécessaire.
Ces critères sont :
- traiter des données particulières, des données pénales ou des données considérées comme à caractère hautement personnel (par exemple, communication électronique, données de localisation, données financières),
- traiter des données concernant des personnes vulnérables (enfants, travailleurs, personnes souffrant d’une maladie mentale, demandeurs d’asile, personnes âgées, patients).
- traiter à grande échelle,
- croiser des ensembles de données,
- évaluer (le rendement au travail, la situation économique, la santé, les préférences, les centres d’intérêts, la fiabilité, le comportement ou la localisation ou les déplacements).
- prendre une décision automatisée avec effet juridique ou effet significatif,
- empêcher les personnes concernées d’exercer un droit ou de bénéficier d’un service ou d’un contrat,
- surveiller systématiquement,
- utiliser de nouvelles solutions technologiques ou organisationnelles (exemple, reconnaissance combinée des empreintes digitales et de la reconnaissance faciale).
Si 2 de ces critères sont rencontrés mais que vous estimez qu’il n’y a pas de risque élevé pour les personnes concernées, vous devez motiver et documenter votre raisonnement.
Our advice:
Vérifiez si les traitements de données que vous effectuez :
- tombent dans les cas obligatoires (listés par le RGPD ou par l’Autorité de protection des données).
- rencontrent au moins 2 clignotants relevés par l’Autorité de protection des données.
Dans ces 2 cas, vous devez réaliser une analyse d’impact.
La méthode est laissée à votre appréciation. Elle doit reprendre les éléments listés par l’article 35.7 du RGPD. Des conseils sont dispensés par l’Autorité de protection des données.
Il est possible d’utiliser un logiciel gratuit, tel que celui mis à disposition par l’autorité de contrôle française, la CNIL.
Vous pouvez également vous faire assister dans cette démarche parfois fastidieuse, qui peut faire l’objet d’un chèque-entreprises « cyber sécurité ».