Par Gérard Haas et Amanda Dubarry
Depuis le 25 mai 2018, date de l’entrée en application du règlement général sur la protection des données (RGPD), les organismes mettant en place des traitements de données dits « à risque » doivent réaliser une analyse d’impact sur la vie privée (AIPD)[1].
Cette nouvelle obligation sera pleinement effective pour les traitements précédents l’entrée en application du règlement au 24 mai 2021.
La CNIL avait en effet accordé aux responsables de traitement une période de tolérance de 3 ans afin qu’ils puissent se mettre en conformité.
Au regard des risques de sanction liés au non-respect de cette obligation[2] - à savoir une amende administrative de 10 000 000 euros ou jusqu’à 2% du chiffre d’affaires annuel mondial total dans le cas d’une entreprise -, il est urgent que les responsables de traitement déclenchent une telle analyse pour les traitements concernés.
Retour sur les points essentiels de l’AIPD :
L’AIPD s’inscrit pleinement dans une démarche de « Privacy By Design » telle que prévue à l’article 25.1 du RGPD :
« Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu'au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui sont destinées à mettre en œuvre les principes relatifs à la protection des données, par exemple la minimisation des données, de façon effective et à assortir le traitement des garanties nécessaires afin de répondre aux exigences du présent règlement et de protéger les droits de la personne concernée. »
En d’autres termes, les responsables de traitement doivent, en amont de la mise en place d’un traitement de données et à tous les stades du cycle, veiller au respect de la vie privée des personnes concernées.
L’AIPD est une application concrète de ce principe : à travers la revue des mesures juridiques, techniques et organisationnelles, l’AIPD évalue les points de conformité au RGPD et permet donc de valider ou non le degré de protection de la vie privée apporté. Ainsi, des principes fondamentaux tels que la minimisation des données, la sécurité des données, les durées de conservation ou encore le respect des droits des personnes doivent être respectés à tous les stades du traitement.
Le niveau du risque est évalué selon sa probabilité (chance de réalisation) et son degré de gravité sur la vie privée des personnes. Dans le cas où l’AIPD conclut à un niveau de risque élevé, le traitement ne pourra être déployé en l’état et devra faire l’objet de correction.
Tous les responsables de traitement mettant en place des traitements susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes concernées sont dans l’obligation de réaliser une AIPD.
L’article 35.3 du RGPD précise notamment :
« L'analyse d'impact relative à la protection des données (…) est, en particulier, requise dans les cas suivants :
Dans le cadre de ses lignes directrices sur l’AIPD, le CEPD a édicté une liste de 9 critères susceptibles de déclencher une AIPD. Lorsqu’au moins deux des critères sont présents dans un traitement, il conviendra de mettre en place une analyse d’impact :
La CNIL a également publié sur son site la liste des traitements éligibles à une étude d’impact et ceux qui en sont dispensés.
La question d’effectuer une analyse d’impact sur les traitements RH a pu se poser dans la mesure où les salariés sont considérés comme des personnes vulnérables par le CEPD (cf. lignes directrices suscitées). En outre certaines données sensibles ou hautement personnelles des salariés peuvent être collectées par le département RH.
Or, pour la grande majorité des traitements RH, la CNIL a indiqué qu’une AIPD était dispensée :
Type d’opérations de traitement | Exemples |
Traitements, mis en œuvre uniquement à des fins de ressources humaines et dans les conditions prévues par les textes applicables, pour la seule gestion du personnel des organismes qui emploient moins de 250 personnes, à l’exception du recours au profilage. |
Les traitements permettant : - la gestion de la paye, l’émission des bulletins de salaire ; - la gestion des formations ; - la gestion du restaurant d’entreprise, la délivrance des chèques repas ; - le remboursement des frais professionnels ; - le contrôle du temps de travail ; - le suivi des entretiens annuels d’évaluation ; - la tenue des registres obligatoires ; - l’utilisation d’outils de communication (messagerie électronique, téléphonie, vidéoconférences, outils collaboratifs en ligne) sans recours au profilage ni à la biométrie ; - le contrôle du temps de travail (sans dispositif biométrique, sans données sensibles ni à caractère hautement personnel). |
Cette dispense permet donc à nombre de responsables de traitement de ne pas être concernés par l’obligation de réaliser une étude d’impact.
Toutefois, les traitements RH impliquant des données sensibles (ex : biométrie sur le lieu de travail) ou toute sorte de profilage (scoring, etc.) sont, eux, soumis à l’obligation d’effectuer une étude d’impact.
Il convient donc de répertorier les traitements réalisés par l’organisme et de les analyser au regard des critères de l’AIPD afin d’identifier les traitements éligibles. Une fois cette identification réalisée, il sera nécessaire de procéder à une AIPD dans les meilleurs délais et en tout état de cause avant le 24 mai 2021.
***
Vous souhaitez être assisté dans le cadre de la réalisation d’une AIPD ? Le Cabinet HAAS Avocats est à votre disposition pour vous accompagner. Pour nous contacter, cliquez-ici.
[1] RGPD, article 35
[2] RGPD, article 83-4.a)