24/11/16

Données personnelles – épisode 5 : Analyse d’impact relative à la protection des données : quelles conséquences pour les entreprises ?

holding privacy settings smartphoneLe 25 mai 2018, tous les organismes publics et privés devront avoir mis en place l’ensemble des moyens techniques et organisationnels prévus par le règlement européen sur la protection des données personnelles.

Dans l’épisode précédent, nous vous présentions les enjeux pratiques liés à l’obligation de notifier les failles de sécurité. Découvrez aujourd’hui le 5e épisode : Saison 1 épisode 5 : l’analyse d’impact relative à la protection des données et ses conséquences pour les entreprises.

La démarche d’analyse d’impact est basée sur une approche de gestion des risques qui vise à anticiper et minimiser les potentielles intrusions engendrées par l’utilisation des nouvelles technologies dans la sphère de la vie privée.

En vertu du règlement, les entreprises devront dorénavant réaliser une analyse d’impact dont l’objet devra porter d’une part sur l’évaluation des risques inhérents à leurs traitements de données personnelles, et d’autre part, sur la détermination des mesures à mettre en œuvre pour atténuer les risques identifiés (article 35 du règlement).

Cette analyse devra être effectuée en amont de la mise en œuvre du traitement, c’est-à-dire dès la conception des produits ou outils technologiques, et en concertation avec le délégué à la protection des données s’il a été désigné par l’entreprise.

Le périmètre de l’analyse concerne les traitements de données « susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques concernées». Sont notamment considérés comme tels les traitements ayant pour objet :

  • l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant significativement de façon similaire ;
  • le traitement à grande échelle de catégories particulières de données (par exemple les données sensibles) ou de données à caractère personnel relatives à des condamnations pénales et à des infractions ;
  • la surveillance systématique à grande échelle d’une zone accessible au public.

Les autorités locales de protection des données pourront établir des listes précisant les catégories de traitement soumises ou non à l’obligation d’effectuer une analyse d’impact.

En cas de recours à un prestataire technique pour le développement du projet, l’entreprise responsable du traitement devra également intégrer des obligations strictes en matière de protection des données dans son cahier des charges et dans son contrat pour faire en sorte que son prestataire se conforme aux exigences du règlement dans toutes les phases de développement du projet.

Le règlement européen n’impose pas de méthodologie particulière pour la conduite de l’analyse d’impact. Chaque entreprise pourra choisir une procédure adaptée à son activité et à ses règles de fonctionnement interne. Il prévoit néanmoins les étapes devant être suivies a minima dans le dans le cadre de l’analyse, à savoir :

  • une description systématique des opérations de traitement et de ses finalités ;
  • une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités ;
  • une évaluation des risques pour les droits et les libertés des personnes concernées ;
  • les mesures envisagées pour faire face à ces risques qui devront être contenues dans le rapport.

Enfin, les entreprises devront également réviser de façon périodique leur étude d’impact pour prendre en compte l’évolution dans le temps de leurs produits, outils et systèmes d’information.

En tout état de cause, l’établissement du rapport d’analyse permettra aux entreprises d’identifier les risques liés aux traitements de données à caractère personnel, d’évaluer leur probabilité d’occurrence, de documenter les modalités et démarches de réduction de ces risques et in fine, de décider d’accepter les risques résiduels.

 

A suivreDans le prochain épisode, nos experts analyseront les aspects internationaux du règlement européen sur la protection des données personnelles.

Retrouvez ici notre site internet dédié à la protection des données personnelles.

Lire aussi :
Données personnelles, épisode 4 – La publicité des failles de sécurité : vers davantage de transparence en cas de cyberattaque
Nouveau règlement sur les données personnelles : le délégué à la protection des données
Données personnelles – Episode 2 : l’établissement de normes internes protégeant les données à caractère personnel ou « Accountability »
Découvrez notre série de la rentrée : « LES EXPERTS : Données personnelles »


Mots-clés : , , , ,


Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *