La réalisation d’analyses d’impact relatives à la protection des données (AIPD ou PIA) constitue l’une des nouvelles obligations imposées par le règlement européen sur la protection des données personnelles dit RGPD.

Analyse d’impact : obligatoire dans quels cas ?

Les analyses d’impact one sont pas obligatoires pour tous les traitements de données personnelles, mais pour ceux qui « compte tenu de la nature, de la portée, du contexte et des finalités du traitement », sont susceptibles d’engendrer « un risque élevé » pour les droits et libertés des personnes concernées.

La notion de « risque élevé » n’est pas précisément définie par le RGPD, qui donne néanmoins des indications sur les cas où, « en particulier », une analyse d’impact peut être requise :

  • évaluation systématique et approfondie d’aspects personnels (notamment profilage), sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire
  • traitements à grande échelle de données sensibles
  • surveillance systématique à grande échelle d’une zone accessible au public.

Cette liste n’est pas exhaustive : d’autres types de traitement peuvent représenter un risque élevé pour les droits et libertés des personnes au sens de la réglementation sur les données personnelles.

Le Comité Européen pour la Protection des Données (CEPD, anciennement G29) et la CNIL ont fourni des précisions sur les cas dans lesquels une analyse d’impact est requise. Il reste toutefois des incertitudes et une réflexion au cas par cas est nécessaire. En cas de doute, réaliser une analyse d’impact est recommandé.

Analyse d’impact : quelle méthodologie et quel contenu ?

Selon le règlement RGPD, l’analyse d’impact doit contenir au moins :

  • une description systématique des opérations de traitement envisagées et des finalités du traitement, y compris, le cas échéant, l’intérêt légitime poursuivi par le responsable du traitement
  • une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités
  • une évaluation des risques pour les droits et libertés des personnes concernées
  • les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du règlement, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes affectées. 

Les autorités européennes de protection des données ont apporté des précisions sur la méthode à employer pour réaliser une analyse d’impact et sur son contenu.

En particulier, la CNIL a publié une méthodologie comportant un modèle et une base de connaissances, mais aussi un logiciel spécifique pouvant être utilisé pour effectuer une analyse d’impact.

Pour plus d’informations, ou pour vous accompagner pour la réalisation d’une analyse d’impact, vous pouvez nous contacter.