15/05/17

Données personnelles : publication de nouvelles lignes directrices du G29 sur les études d’impact

pile of books with one book open on white backgroundLe G29 poursuit son travail de préparation de l’entrée en application du règlement européen sur la protection des données en publiant des lignes directrices relatives aux études d’impact sur la vie privée après celles émises fin 2016 sur le Délégué à la protection des données, la portabilité ou encore l’autorité chef de file.

IL faut rappeler à cet égard que la réalisation des études d’impact s’inscrit dans le cadre de l’article 35 du RGPD aux termes duquel « Lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel(…) »

L’enjeu se trouve donc dans la détermination des cas de figure dans lesquels des études d’impact devront être réalisées car les traitements mis en œuvre présentent un risque élevé pour les droits et libertés des personnes concernées. La finalité étant la mise en œuvre de mesures appropriées pour que le traitement réponde aux exigences posées par le RGPD.

L’objectif de cette analyse est d’évaluer la probabilité et la gravité du risque afin de déterminer, à partir du résultat de l’évaluation, les mesures à prendre afin de démontrer que le traitement des données à caractère personnel est conforme à la réglementation européenne.

Si la CNIL avait déjà amorcé une réflexion sur les études d’impact, certaines questions restaient en suspens et notamment :

  • Ce qui est entendu par la notion de « risque élevé »,
  • La méthodologie à mettre en œuvre pour la réalisation d’études d’impact répondant aux exigences du RGPD.

La notion de « risque élevé »
Les traitements susceptibles d’entraîner un « risque élevé » pour les droits et libertés des personnes doivent faire l’objet d’une étude d’impact conformément à l’article 35 du RGPD. Dans cette perspective, les lignes directrices émises par le G29 visent un certain nombre de critères qui doivent être pris en compte par le responsable de traitement dès lors qu’il évaluera les risques présentés par le traitement considéré. Au nombre de ces éléments : l’existence de données sensibles, données de personnes vulnérables, transferts de données hors du territoire de l’Union européenne, de profilage ou encore de scoring.

Plus un traitement présente de critères avancés par le G29, plus il est susceptible de générer des risques élevés pour les droits et libertés des personnes.

Le G29 énonce également un liste de traitements qui selon lui nécessitent la réalisation d’une étude d’impact :

  • La surveillance par un employeur de ses employés sur leurs postes de travail informatique ou encore de leur activité sur internet ;
  • La collecte de données sur les profils publics de réseaux sociaux de personnes physiques ;
  • L’exploitation d’un système de vidéosurveillance sur les autoroutes dès lors qu’une analyse de la plaque d’immatriculation permet d’isoler et d’individualiser un conducteur.

En tout état de cause, le G29 recommande la réalisation d’une étude d’impact dès lors qu’il y a doute sur le niveau de risque.

La méthodologie de l’analyse d’impact
Dès lors que le responsable de traitement estime que la mise en œuvre d’un traitement exige la réalisation d’une étude d’impact, la réalisation de celle-ci doit suivre une méthodologie particulière que le G29 développe dans ses lignes directrices.

Ainsi le processus est le suivant :

  1. Description du traitement ;
  2. Evaluation de sa nécessité et de sa proportionnalité ;
  3. Evaluation de sa conformité ;
  4. Evaluation des risques du point de vue des personnes dont les données sont traitées ;
  5. Détermination des mesures à prendre pour limiter et réduire le risque ;
  6. Documentation du processus ;
  7. Suivi permanent et réexamen ponctuel de la conformité du traitement.

Le G29 ne vise pas de formalisme particulier pour la réalisation des études d’impact mais il rappelle l’existence de normes ISO pertinentes: management du risque (ISO 31000) et Lignes directrices pour l’évaluation d’impacts sur la vie privée – sécurité informatique (ISO/IEC 29134).

Le G29 rappelle ensuite que l’étude d’impact n’est requise que pour les traitements mis en œuvre après le 25 mai 2018, avec une réserve tenant à une obligation de revue des traitements existants dès lors que le niveau de risque évolue.

Enfin, Le G29 pousse fortement à la production de DPIA sectoriels notamment par les fabricants de solutions (éditeurs etc…) de sorte à optimiser la compliance des responsables de traitement avec le RGPD.

Philippe Debry et Sihem Hassani

Retrouvez ici notre site internet dédié à la protection des données personnelles.

Lire aussi :
Propriété intellectuelle et Technologies de l’information : lettre d’information mars 2017
Traitement des données personnelles de l’enfant et e-commerce : les apports du règlement européen


Mots-clés : , , , , ,


Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *