Le 25 mai 2021 marquera la fin de la dispense d’obligation de réaliser une Analyse d’Impact sur la Protection des Données (AIPD) pour les traitements de données personnelles antérieurs au 25 mai 2018.
Contexte
Avec l’entrée en application du RGPD le 25 mai 2018, le régime de formalité préalable a été en grande partie supplanté par de nouvelles modalités de documentation de la conformité en matière de protection des données personnelles, en particulier l’obligation de réaliser une AIPD préalablement à la mise en œuvre de traitements susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées.
Dans un souci de simplicité et d’accompagnement s’agissant d’une obligation nouvelle, la CNIL avait accordé une dispense d’obligation de réaliser une AIPD pendant une période de 3 ans à compter du 25 mai 2018.
Peuvent prétendre au bénéfice de cette dispense les traitements qui avaient fait l’objet d’une formalité préalable applicable avant le 25 mai 2018 (récépissé de déclaration normale ou d’engagement de conformité à une norme de référence, délibération portant autorisation ou avis de la CNIL) ou qui avaient été consignés au registre du Correspondant Informatique et Libertés, sous réserve qu’ils n’aient pas fait l’objet d’une modification substantielle (touchant au périmètre/modalités du traitement).
A compter du 25 mai 2021, la réalisation d’une AIPD deviendra donc obligatoire pour tous les traitements susceptibles d’engendrer des risques élevés pour les personnes concernées, quel que soit leur régime de formalité antérieur au RGPD.
Dans quels cas une AIPD est-elle requise ?
Pour rappel, tout traitement de données personnelles susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées doit faire l’objet d’une AIPD. Cela sera notamment le cas lorsque le traitement envisagé remplit au moins deux des neuf critères suivants, issus des lignes directrices du G29 :
- évaluation/scoring (y compris le profilage) ;
- décision automatique avec effet légal ou similaire ;
- surveillance systématique ;
- collecte de données sensibles ou données à caractère hautement personnel ;
- collecte de données personnelles à large échelle ;
- croisement de données ;
- personnes vulnérables concernées (patients, personnes âgées, mineurs, etc.) ;
- usage innovant (utilisation d’une nouvelle technologie) ;
- exclusion du bénéfice d’un droit/contrat.
Pour aider les organismes à identifier les traitements concernés, la CNIL a publié une liste des traitements obligatoirement soumis à AIPD ainsi qu’une liste des traitements pour lesquels, au contraire, aucune AIPD n’est requise.
Par exemple, une AIPD est requise pour les traitements ayant pour finalité la gestion des alertes et des signalements en matière professionnelle, ou pour les traitements ayant pour finalité de surveiller de manière constante l’activité des employés, tels que les dispositifs de cyber surveillance visant à détecter d’éventuelles fuites d’information sur la base d’une analyse des flux de courriels sortants (Data Loss Prevention). A contrario, une AIPD n’est pas requise pour les traitements destinés à la gestion du personnel (cette dérogation en valant que pour les entreprises employant moins de 250 salariés et à condition que les traitements concernés n’impliquent pas de profilage), pour la gestion des activités des comités sociaux et économiques, ou encore pour les traitements mis en œuvre aux seules fins de gestion des contrôles d’accès physique et des horaires pour le calcul du temps de travail, en dehors de tout dispositif biométrique (dès lors qu’ils ne portent pas sur des données sensibles ou à caractère hautement personnel).
Comment réaliser une AIPD ?
La CNIL met à la disposition des responsables de traitement et des sous-traitants de la documentation et des outils pour aider à la réalisation d’AIPD, à savoir, outre les listes ci-dessus mentionnées : l’outil PIA (logiciel open source qui facilite la conduite et la formalisation d’AIPD), des guides de bonnes pratiques et des référentiels notamment.
Pour autant, les acteurs concernés par cette obligation sont libres de s’appuyer sur une méthode différente, sous réserve que l’analyse menée comporte les critères suivants :
- la description systématique du traitement à risque ;
- l’évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités ;
- l’évaluation des risques sur les droits et libertés des personnes concernées ; et
- la détermination des mesures envisagées pour faire face aux risques.
Le non-respect de l’obligation de réalisation d’une AIPD peut donner lieu à des sanctions administratives dont le montant maximal peut s’élever, pour rappel, à 10 000 000 d’euros ou 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent. Ces sanctions trouvent d’ores et déjà à s’appliquer pour tout traitement postérieur au 25 mai 2018 et, le seront à compter du 25 mai 2021 pour tout traitement antérieur ne pouvant plus bénéficier de la dispense octroyée par la CNIL.
Notre équipe d'avocats spécialisés en protection des données personnelles peut vous assister dans la réalisation de vos AIPD avec le support des équipes Cybersécurité sur les aspects sécurité et analyse de risque, en s’appuyant tant sur un outil EY dédié que sur l’outil PIA de la CNIL.