4 min de temps de lecture 12 févr. 2021
AIPD : bientôt la fin du délai de tolérance accordé par la CNIL

AIPD : bientôt la fin du délai de tolérance accordé par la CNIL

Auteurs
Fabrice Naftalski

Avocat Associé, Global Head of Data Protection Law, département IP/IT et Protection des données, France

Fabrice gère en France les activités de droit du numérique, de protection des données personnelles et de propriété intellectuelle et la protection des données personnelles du réseau mondial EY Law.

Sophie Revol

Avocate, Directeur Associée, département IP/IT et Protection des données, France

Sophie est une avocate expérimentée en matière de Protection des Données Personnelles et titulaire de la certification internationale CIPP/E délivrée par l’IAPP.

Pascal Antonini

Associé, Consulting, Cyber Data Privacy, France

Spécialisé dans le conseil en cybersécurité, protection des données et maîtrise des risques IT. Président de l’AFAI-ISACA représentant l’ISACA en France. Hautboïste dans un orchestre symphonique.

4 min de temps de lecture 12 févr. 2021
Thématiques associées Law

Le 25 mai 2021 marquera la fin de la dispense d’obligation de réaliser une Analyse d’Impact sur la Protection des Données (AIPD). Dans quels cas est-elle requise et comment la réaliser ? 

En résumé
  • Le RGPD a introduit en 2018 l’obligation de réaliser une AIPD préalablement à la mise en œuvre de certains traitements.
  • La CNIL avait accordé une dispense à cette obligation pendant une période de 3 ans à compter du 25 mai 2018, dans certaines conditions.
  • A compter du 25 mai 2021, la réalisation d’une AIPD deviendra pleinement obligatoire pour les traitements à risque.

Le 25 mai 2021 marquera la fin de la dispense d’obligation de réaliser une Analyse d’Impact sur la Protection des Données (AIPD) pour les traitements de données personnelles antérieurs au 25 mai 2018.

 

Contexte

Avec l’entrée en application du RGPD le 25 mai 2018, le régime de formalité préalable a été en grande partie supplanté par de nouvelles modalités de documentation de la conformité en matière de protection des données personnelles, en particulier l’obligation de réaliser une AIPD préalablement à la mise en œuvre de traitements susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées.

Dans un souci de simplicité et d’accompagnement s’agissant d’une obligation nouvelle, la CNIL avait accordé une dispense d’obligation de réaliser une AIPD pendant une période de 3 ans à compter du 25 mai 2018.

Peuvent prétendre au bénéfice de cette dispense les traitements qui avaient fait l’objet d’une formalité préalable applicable avant le 25 mai 2018 (récépissé de déclaration normale ou d’engagement de conformité à une norme de référence, délibération portant autorisation ou avis de la CNIL) ou qui avaient été consignés au registre du Correspondant Informatique et Libertés, sous réserve qu’ils n’aient pas fait l’objet d’une modification substantielle (touchant au périmètre/modalités du traitement).

A compter du 25 mai 2021, la réalisation d’une AIPD deviendra donc obligatoire pour tous les traitements susceptibles d’engendrer des risques élevés pour les personnes concernées, quel que soit leur régime de formalité antérieur au RGPD.

Dans quels cas une AIPD est-elle requise ?

Pour rappel, tout traitement de données personnelles susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées doit faire l’objet d’une AIPD. Cela sera notamment le cas lorsque le traitement envisagé remplit au moins deux des neuf critères suivants, issus des lignes directrices du G29 :

  • évaluation/scoring (y compris le profilage) ;
  • décision automatique avec effet légal ou similaire ;
  • surveillance systématique ;
  • collecte de données sensibles ou données à caractère hautement personnel ;
  • collecte de données personnelles à large échelle ;
  • croisement de données ;
  • personnes vulnérables concernées (patients, personnes âgées, mineurs, etc.) ;
  • usage innovant (utilisation d’une nouvelle technologie) ;
  • exclusion du bénéfice d’un droit/contrat.

Pour aider les organismes à identifier les traitements concernés, la CNIL a publié une liste des traitements obligatoirement soumis à AIPD ainsi qu’une liste des traitements pour lesquels, au contraire, aucune AIPD n’est requise.

Par exemple, une AIPD est requise pour les traitements ayant pour finalité la gestion des alertes et des signalements en matière professionnelle, ou pour les traitements ayant pour finalité de surveiller de manière constante l’activité des employés, tels que les dispositifs de cyber surveillance visant à détecter d’éventuelles fuites d’information sur la base d’une analyse des flux de courriels sortants (Data Loss Prevention). A contrario, une AIPD n’est pas requise pour les traitements destinés à la gestion du personnel (cette dérogation en valant que pour les entreprises employant moins de 250 salariés et à condition que les traitements concernés n’impliquent pas de profilage), pour la gestion des activités des comités sociaux et économiques, ou encore pour les traitements mis en œuvre aux seules fins de gestion des contrôles d’accès physique et des horaires pour le calcul du temps de travail, en dehors de tout dispositif biométrique (dès lors qu’ils ne portent pas sur des données sensibles ou à caractère hautement personnel).

Comment réaliser une AIPD ?

La CNIL met à la disposition des responsables de traitement et des sous-traitants de la documentation et des outils pour aider à la réalisation d’AIPD, à savoir, outre les listes ci-dessus mentionnées : l’outil PIA (logiciel open source qui facilite la conduite et la formalisation d’AIPD), des guides de bonnes pratiques et des référentiels notamment.

Pour autant, les acteurs concernés par cette obligation sont libres de s’appuyer sur une méthode différente, sous réserve que l’analyse menée comporte les critères suivants :

  • la description systématique du traitement à risque ;
  • l’évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités ;
  • l’évaluation des risques sur les droits et libertés des personnes concernées ; et
  • la détermination des mesures envisagées pour faire face aux risques.

Le non-respect de l’obligation de réalisation d’une AIPD peut donner lieu à des sanctions administratives dont le montant maximal peut s’élever, pour rappel, à 10 000 000 d’euros ou 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent. Ces sanctions trouvent d’ores et déjà à s’appliquer pour tout traitement postérieur au 25 mai 2018 et, le seront à compter du 25 mai 2021 pour tout traitement antérieur ne pouvant plus bénéficier de la dispense octroyée par la CNIL.

Notre équipe d'avocats spécialisés en protection des données personnelles peut vous assister dans la réalisation de vos AIPD avec le support des équipes Cybersécurité sur les aspects sécurité et analyse de risque, en s’appuyant tant sur un outil EY dédié que sur l’outil PIA de la CNIL.

Ce qu'il faut retenir

A compter du 25 mai 2021, la réalisation d’une AIPD deviendra obligatoire pour tous les traitements susceptibles d’engendrer des risques élevés pour les personnes concernées, quel que soit leur régime de formalité antérieur au RGPD.

Pour accompagner les entreprises dans cette évolution, la CNIL met à la disposition des responsables de traitement et des sous-traitants de la documentation et des outils pour aider à la réalisation d'une AIPD.

Le non-respect de l’obligation de réalisation d’une AIPD pourra donner lieu à des sanctions administratives.

A propos de cet article

Auteurs
Fabrice Naftalski

Avocat Associé, Global Head of Data Protection Law, département IP/IT et Protection des données, France

Fabrice gère en France les activités de droit du numérique, de protection des données personnelles et de propriété intellectuelle et la protection des données personnelles du réseau mondial EY Law.

Sophie Revol

Avocate, Directeur Associée, département IP/IT et Protection des données, France

Sophie est une avocate expérimentée en matière de Protection des Données Personnelles et titulaire de la certification internationale CIPP/E délivrée par l’IAPP.

Pascal Antonini

Associé, Consulting, Cyber Data Privacy, France

Spécialisé dans le conseil en cybersécurité, protection des données et maîtrise des risques IT. Président de l’AFAI-ISACA représentant l’ISACA en France. Hautboïste dans un orchestre symphonique.

Related topics Law