Déclaration sur le rôle d’une approche basée sur le risque dans les cadres juridiques de protection des données :
[…] le Groupe de travail est préoccupé par le fait que, tant en relation avec les discussions sur le nouveau cadre juridique de l’UE pour la protection des données que plus largement, l’approche basée sur le risque est de plus en plus présentée, à tort, comme une alternative aux droits et principes bien établis de la protection des données, plutôt que comme une approche évolutive et proportionnée de la conformité. L’objectif de cette déclaration est de remettre les pendules à l’heure.L’approche dite “fondée sur le risque” n’est pas un concept nouveau, car elle est déjà bien connue dans le cadre de l’actuelle directive 95/46/CE, notamment en matière de sécurité (article 17) et d’obligations de contrôle préalable des DPA (article 20). Le régime juridique applicable au traitement de catégories spéciales de données (article 8) peut également être considéré comme l’application d’une approche fondée sur le risque : les obligations renforcées résultent de traitements considérés comme risqués pour les personnes concernées. Il est important de noter que – même avec l’adoption d’une approche fondée sur les risques – il n’est pas question d’affaiblir les droits des personnes en ce qui concerne leurs données à caractère personnel. Ces droits doivent être tout aussi forts, même si le traitement en question est relativement “peu risqué”. Au contraire, la scalabilité des obligations légales basées sur le risque adresse des mécanismes de conformité. Cela signifie que le contrôleur de données dont le traitement présente un risque relativement faible ne devra pas faire autant d’efforts pour se conformer à ses obligations légales qu’un contrôleur de données dont le traitement présente un risque élevé.
Toutefois, l’approche basée sur le risque a reçu beaucoup plus d’attention lors des discussions au Parlement européen et au Conseil sur la proposition de règlement général sur la protection des données. Elle a été introduite récemment en tant qu’élément central du principe de responsabilité lui-même (article 22). Outre l’obligation de sécurité (article 30) et l’obligation d’effectuer une évaluation d’impact (article 33) déjà prescrites dans le projet de règlement, l’approche basée sur le risque a été étendue et reflétée dans d’autres mesures de mise en œuvre telles que le principe de protection des données dès la conception (article 23), l’obligation de documentation (article 28) et l’utilisation de la certification et des codes de conduite (articles 38 et 39). Il est donc évident que le projet de règlement contient déjà les outils – par exemple à l’article 33 relatif à l’évaluation de l’impact – permettant de fournir une évaluation fiable et relativement objective du risque. En parallèle, le concept a été promu dans les débats publics sur la réglementation de la protection des données dans le contexte des “big data”. Ses promoteurs affirment que la collecte ne devrait plus être considérée comme l’objectif principal de la réglementation et que la conformité légale devrait plutôt se déplacer vers le cadre de l’utilisation des données. Pour se conformer, il est préconisé qu’une approche forte basée sur les dommages peut aider à promouvoir une utilisation responsable des données basée sur la gestion des risques. Enfin, il y a eu de vifs débats au Parlement européen et au Conseil sur l’applicabilité d’un régime juridique allégé pour les données pseudonymes ou pseudonymisées, en considérant que, du fait de leur nature perçue comme moins identifiable, les risques pour la vie privée des personnes concernées sont réduits. Ces éléments contextuels et de fond démontrent la nécessité impérieuse pour le Groupe de travail de communiquer les messages clés suivants sur cette question.