- L’article 35 du RGPD exige une analyse d’impact relative à la protection des données (AIPD) préalable lorsqu’il est probable qu’il existe un risque élevé pour les personnes concernées, typiquement en cas de profilage, de données sensibles ou de surveillance systématique.
- Le groupe de travail recommande d’établir des listes de contrôle méthodiques, de les répéter au moins tous les trois ans, de consulter l’autorité de surveillance s’il subsiste un risque élevé et d’établir une documentation complète.
Le RGPD prévoit à l’article 35 qu’une analyse d’impact relative à la protection des données (AIPD) doit être effectuée lorsqu’un traitement de données “.vraisemblablement un risque élevé” a pour conséquence une augmentation des coûts. Le site Groupe de travail Article 29 a maintenant approuvé le projet de Document de travail 248 sur la DSFA (PDF) publié avec diverses clarifications concernant l’article 35 du RGPD. Ce document de travail revêt une importance particulière car le groupe de travail Article 29 (qui sera remplacé par le Comité européen visé à l’article 68 du RGPD avec le RGPD) est composé de représentants des Autorités de surveillance des États membres c’est-à-dire les autorités qui ont été désignées par les Listes positives et négatives de préciser quand il convient de procéder à une AIPD.
Les commentaires sur le projet peuvent être soumis jusqu’au 23 mai 2017.
Quand faut-il procéder à une DSFA ?
Une DPA doit toujours être effectuée lorsqu’un traitement
- est susceptible d’entraîner un risque élevé,
- n’a pas encore fait l’objet d’une DSFA
- et ne repose pas sur une base légale dont l’adoption a déjà fait l’objet d’une analyse d’impact générale.
Critères d’admission : “risque probablement élevé”.
Le groupe de travail se prononce entre autres sur la question de savoir quand il faut procéder à une AIPD, c’est-à-dire quand il faut s’attendre à un risque élevé. Il s’agit en l’occurrence (surtout sur la base de l’art. 35, al. 3 RGPD) de de considérer les circonstances suivantes comme des indices d’un risque élevé:
- Scoring, profilage, évaluation, p. ex. estimation de la solvabilité par une banque, marketing comportemental, etc,
- les décisions individuelles automatisées (un document de travail spécifique sur le profilage devrait apporter des clarifications à ce sujet),
- surveillance systématique,
- Traitement des données sensibles,
- les traitements de données à grande échelle (il convient de tenir compte du nombre de personnes concernées, de la quantité de données traitées et du nombre de catégories de données, puis de la durée du traitement et de son étendue géographique),
- la fusion ou le rapprochement de bases de données, dans la mesure où il ne faut pas s’y attendre
- le traitement des données des personnes particulièrement vulnérables,
- Nouveauté des processus de traitement, utilisation de nouvelles technologies (p. ex. capteurs d’empreintes digitales ou reconnaissance faciale),
- Transfert de données personnelles à des destinataires en dehors de l’UE,
- les traitements qui rendent plus difficile l’exercice des droits ou l’obtention d’un service par les personnes concernées, par exemple l’évaluation de la solvabilité par une banque avant l’octroi d’un prêt.
En règle générale, la DSFA est requise lorsqu’au moins deux des points mentionnés sont réunis (sous réserve de circonstances particulières).
Les exemples suivants sont cités pour Traitements nécessitant une AIPD:
- Un hôpital traite les données génétiques et de santé de ses patients (système d’information hospitalier)
- L’utilisation d’un système de caméras pour surveiller le comportement des conducteurs sur les autoroutes. Le contrôleur envisage d’utiliser un système d’analyse vidéo intelligent pour distinguer les voitures et reconnaître automatiquement les plaques d’immatriculation.
- Une entreprise surveille les activités de ses employés, y compris le suivi de leur poste de travail, leur activité sur Internet, etc.
- La collecte de données de profils de médias sociaux publics à utiliser par des entreprises privées générant des profils pour des annuaires de contacts.
En revanche, il convient ici pas de DSFA nécessaire:
- Un magazine en ligne utilisant une liste de diffusion pour envoyer un journal quotidien générique à ses abonnés.
- Un site web de commerce électronique présentant des annonces de pièces détachées pour voitures vintage impliquant un profilage limité basé sur les comportements passés sur certaines parties de son site web.
Bien entendu, un responsable du traitement est toujours tenu de garder un œil sur les risques liés au traitement (article 32 du RGPD) et de les documenter (article 30, paragraphe 1, point g) du RGPD). Cela vaut également pour les risques qui ne sont pas élevés.
Droit transitoire
Selon le libellé de l’article 35 du RGPD, l’obligation de procéder à une AIPD ne s’applique qu’aux traitements futurs. En vertu du droit transitoire, l’obligation de DSFA peut par conséquent ne concernent que des traitements qui n’ont pas encore commencé au 25 mai 2018. En effet :
- Le document de travail recommande “strictement” de procéder également à une AIPD pour les traitements déjà en cours. Le groupe de travail s’appuie notamment sur l’article 35, paragraphe 11 du RGPD, selon lequel un responsable doit, le cas échéant, contrôler si un traitement est effectué conformément à la DSFA.
- Traitements en cours commencés après le 25 mai 2018 être modifié de manière substantielleEn outre, les données à caractère personnel doivent être considérées comme de nouveaux traitements pour lesquels il convient, le cas échéant, de procéder à une AIPD.
- Il en va de même lorsque le Risque un traitement en cours après le 25 mai 2018 par le contexte du traitement.
Réalisation d’un DSFA
Moment
Le cas échéant, une AIPD doit être effectuée avant le début du traitement à risque (article 35, paragraphe 1, du RGPD, “avant”). Le document de travail recommande de procéder à la DSFA le plus tôt possible, même si tous les détails du traitement ne sont pas encore connus. En cas de modification du traitement, la DSFA doit être adaptée. Du point de vue du groupe de travail, la DSFA ne doit donc pas être effectuée de manière ponctuelle, mais doit être un instrument d’observation et de gestion des risques en continu :
Dans certains cas, le DPIA sera un processus en cours, par exemple lorsqu’une opération de traitement est dynamique et sujette à des changements constants. L’élaboration d’un DPIA est un processus continu, et non un exercice ponctuel.
Responsabilité
L’obligation d’effectuer la DSFA incombe au Responsable (article 35, paragraphe 1, du RGPD), qui ne doit évidemment pas effectuer personnellement la DSFA. Le responsable du traitement doit demander l’avis du délégué à la protection des données (paragraphe 2), qui supervise également la DSFA. Un sous-traitant impliqué dans le traitement en question devrait assister le responsable du traitement dans cette tâche.
Selon l’art. 35, al. 9, “le cas échéant, le statut de la personne concernée doit être déterminé”.dpoint de la personnes concernées ou de leur Représentant“de l’avis du groupe. Le groupe de travail recommande de documenter si le point de vue a été demandé, quel en est le résultat et quelles considérations ont éventuellement conduit à ne pas suivre ce point de vue. En outre, le point de vue peut être recueilli non seulement par le biais d’un sondage, mais aussi, par exemple, par le biais d’une étude.
Procédure et contenu
Le RGPD ne contient pas d’exigences précises quant à la manière dont la DSFA doit être effectuée. L’article 35, paragraphe 7, contient uniquement les exigences suivantes concernant le contenu de la DSFA :
a) une description systématique des opérations de traitement envisagées et des finalités du traitement, y compris, le cas échéant, des intérêts légitimes poursuivis par le responsable du traitement ;
b) une évaluation de la nécessité et de la proportionnalité des opérations de traitement par rapport à la finalité ;
c) une évaluation des risques pour les droits et libertés des personnes concernées, conformément au paragraphe 1 ; et
d) les mesures correctives envisagées pour faire face aux risques, y compris les garanties, les mesures de sécurité et les procédures visant à assurer la protection des données à caractère personnel et à démontrer que le présent règlement est respecté, tout en tenant compte des droits et des intérêts légitimes des personnes concernées et des autres parties intéressées.
D’un point de vue méthodologique, la DSFA exige ce qui suit :
- Apprécier la nature du traitement en question, sa portée, son contexte et ses finalités ;
- Évaluation des risques, notamment de la probabilité d’occurrence et de la gravité des blessures éventuelles ;
- Réduire les risques, assurer la conformité au RGPD et documenter.
Dans ce contexte, la DSFA peut typiquement se dérouler selon les étapes suivantes :
La procédure concrète est toutefois laissée en grande partie à l’appréciation du responsable. L’essentiel est le suivant :
Toutefois, quelle que soit sa forme, une DPIA doit être une véritable évaluation des risques, permettant aux contrôleurs de prendre des mesures pour y faire face.
L’annexe 2 du document de travail contient une Compilation du contenu requis d’une DSFA sous forme de liste de contrôle.
Publication de la DSFA
Le RGPD ne prévoit pas l’obligation de publier la DSFA ou ses résultats. Le groupe de travail recommande toutefois d’envisager au moins la publication de tout ou partie de ces informations, en particulier lorsqu’il existe des risques pour le public.
Répétition et vérification
Le groupe de travail recommande de procéder à une AIPD au moins tous les trois ans de répéter le processus. Il ne s’agit toutefois pas d’une véritable obligation, à moins que des circonstances pertinentes augmentant les risques ne soient survenues depuis la dernière DSFA.
Consultation de l’autorité de surveillance
Il découle de l’article 36 du RGPD que l’autorité de contrôle doit être consultée avant le traitement si la DSFA révèle que, malgré les mesures d’atténuation des risques, il existe un risque d’atteinte à la vie privée. risque élevé subsiste. La disposition n’est pas claire, mais elle est précisée aux considérants 84 et 94. Le groupe de travail fait de même :
C’est dans les cas où les risques identifiés ne peuvent pas être suffisamment abordés par le contrôleur de données (c’est-à-dire que les risques résiduels restent élevés) que le contrôleur de données doit consulter l’autorité de surveillance.
Champ d’application international de l’article 35 du RGPD
Aucune information n’est fournie sur le champ d’application international de l’article 35 du RGPD. La question de savoir si les responsables de traitement étrangers soumis au RGPD sur la base de l’art. 3, al. 2, sont tenus de procéder à une AIPD en vertu du RGPD reste donc ouverte.
Mode d’emploi
Le groupe de travail résume comme suit les obligations du responsable du traitement en vertu des articles 35 et 36 du RGPD :
Lorsqu’un traitement à haut risque est envisagé, le contrôleur de données doit :
- choisissent une méthode DPIA (exemples donnés à l’annexe 1) qui satisfait aux critères de l’annexe 2, ou spécifient et mettent en œuvre un processus DPIA systématique qui
- est conforme aux critères énoncés à l’annexe 2 ;
- est intégré dans les processus existants de conception, de développement, de changement, de risque et d’examen opérationnel, conformément aux processus internes, au contexte et à la culture ;
- implique les parties intéressées appropriées et définit clairement leurs responsabilités (contrôleur, OPH, personnes concernées par les données ou leurs représentants, entreprise, services techniques, processeurs, responsable de la sécurité des informations, etc ;)
- fournir le rapport DPIA à l’autorité de contrôle compétente lorsqu’il est requis de le faire ;
- consulter l’autorité de contrôle lorsqu’ils n’ont pas réussi à déterminer des mesures suffisantes pour atténuer les risques élevés ;
- revoir périodiquement le DPIA et le traitement qu’il évalue, au moins lorsqu’il y a un changement du risque posé par le traitement de l’opération ;
- documenter les décisions prises.
Réglementation suisse : art. 16 AP-LPD
L’avant-projet de révision de la LPD suisse prévoit une obligation analogue à l’article 16. Toutefois, la réglementation suisse prévoit qu’une AIPD est nécessaire dès que les risques pertinents sont “accrus” et que le PFPDT doit être informé lors de chaque AIPD, c’est-à-dire également lorsque l’AIPD révèle que les risques peuvent être réduits par des mesures de sécurité de telle sorte qu’il n’existe plus de risques résiduels accrus (selon le RGPD, une obligation correspondante n’existe que lorsque les risques résiduels sont toujours élevés ; l’article 36 du RGPD est toutefois formulé de manière peu claire, ce qui a probablement influencé l’avant-projet). En outre, la question de savoir qui doit effectuer une AIPD (“le responsable du traitement ou le sous-traitant”) n’est pas claire.
Malgré ces divergences (qui ont été fortement critiquées lors de la procédure de consultation), on peut s’attendre à ce que les entreprises suisses s’alignent sur la norme européenne en matière de DSFA.