Recevez chaque jour toute l'actualité du numérique

x

Analyse d'impact sur les traitements de données : fin de la période dérogatoire

Tribune Le Règlement général sur la protection des données (RGPD) a rendu obligatoire la réalisation d’une Analyse d’Impact sur la Protection des Données (AIPD). Lors de sa mise en œuvre, une période dérogatoire de trois ans avait été accordée cette réalisation d’AIPD, période qui s’achève ce 25 mai. Eric Caprioli et Isabelle Cantero, avocats au sein du cabinet Caprioli & Associés, font le point sur ce que cela va impliquer.  
Twitter Facebook Linkedin Flipboard Email
×

Analyse d'impact sur les traitements de données : fin de la période dérogatoire
Analyse d'impact sur les traitements de données : fin de la période dérogatoire © TheDigitalArtist/Pixabay

Le RGPD a réduit drastiquement les déclarations préalables des traitements de données personnelles à la CNIL. En revanche, pour les traitements risquant d’engendrer un risque élevé sur les droits et libertés des personnes (ex. traitement biométrique), le règlement rend obligatoire la réalisation d’une Analyse d’Impact sur la Protection des Données (AIPD). En mai 2018, une période dérogatoire de 3 ans avait été accordée pour la réalisation d’AIPD sur les traitements concernés, période qui s’achève le 25 mai 2021.

Contexte de l’AIPD
L’AIPD consiste en l’analyse documentée du traitement concerné et comprend l’évaluation du respect des principes de protection ainsi que l’étude des risques présentés (nature, gravité, probabilité). Cela participe de la "responsabilisation de l’entreprise" dans ses démarches d’accountability. La FAQ de la CNIL, sur la thématique, souligne que "La réalisation d’une AIPD constitue, dans tous les cas, une bonne pratique facilitant la démarche de mise en conformité avec les conditions de fond prévues par le RGPD" (Source CNIL : Ce qu’il faut savoir sur l’AIPD).

Une AIPD est requise si "le traitement remplit au moins deux des neuf critères issus des lignes directrices du G29" (v. infographie sur le site de la CNIL). Concrètement, la CNIL a établi une liste de traitements pour lesquels l’AIPD est nécessaire (v. sur le site de la CNIL, liste AIPD obligatoires) et une autre liste où l’AIPD n’est pas requise (v. sur le site de la CNIL, liste AIPD non requises).

Dans une approche privacy by design (protection de la vie privée dès la conception), l’AIPD doit être effectuée le plus en amont possible. Sa mise à jour est nécessaire en fonction du développement du projet et le cas échéant, si des modifications significatives surviennent en cours de vie.

Il appartient au responsable du traitement de s’assurer que son traitement est conforme au RGPD et donc de réaliser l’AIPD. À ce sujet, il peut solliciter son DPO pour lui apporter de l’aide et lui fournir les informations adaptées. L’entreprise est libre de choisir sa méthode de réalisation de l’AIPD à partir du moment où elle respecte les critères définis par l’ancien G29 (annexe 2 des lignes directrices).

Dans le cadre du RGPD, l’AIPD n’a pas à être transmise à la CNIL sauf si le niveau de risque résiduel reste élevé ou si la législation nationale l’impose. Enfin, les manquements aux dispositions sur les AIPD sont passibles d’une amende allant jusqu'à 10.000.000 € ou 2% du CA de l’entreprise (article 83-4 du RGPD).

Période dérogatoire accordée aux entreprises pour la réalisation des AIPD

La CNIL a accordé un délai dérogatoire de 3 ans de réalisation d’une AIPD pour les traitements risqués :

  • "ayant fait l’objet d’une formalité préalable auprès de la CNIL avant le 25 mai 2018, ou qui étaient dispensés de formalité" ;
  • qui sont consignés au registre du Correspondant Informatique et Libertés (CIL).

Cette dérogation n’est cependant pas applicable pour :

  • les nouveaux  traitements postérieurs au  25 mai 2018 ;
  • les traitements antérieurs sans formalité préalable auprès de la CNIL ;
  • les traitements antérieurs, dispensés d’AIPD "en raison de l’accomplissement d’une formalité préalable auprès de la CNIL, mais qui font l’objet d’une modification significative" (Source CNIL : Ce qu’il faut savoir sur l’AIPD).

La fin de la dérogation, le début des contrôles ?
La période de grâce accordée par la CNIL sous-tend que les traitements visés par une AIPD n’étaient pas nécessairement à jour de cette obligation du RGPD lors de son entrée en application. Cela concerne la plupart des traitements qui étaient soumis à autorisation avant le 25 mai 2018. Les bonnes pratiques incitent les responsables du traitement à avoir effectué des AIPD pour les traitements ayant fait l’objet d’une autorisation antérieure.

On peut noter que les AIPD ne figurent pas au rang des thématiques prioritaires pour les contrôles de la CNIL 2021. Et à ce jour, la jurisprudence n’est pas encore très fournie sur les contentieux en la matière.

Cela étant, le Conseil d’État a récemment été saisi d’un litige relatif au défaut d’AIPD pour un traitement de données personnelles (Conseil d'État, 02/04/2021, n° 445071). En l’espèce, une personne reprochait à un gestionnaire de baux immobiliers de n’avoir pas mis en œuvre une AIPD sur son traitement. Le Conseil d’État n’a pas suivi le raisonnement du demandeur, jugeant que ce traitement n’était pas de nature à engendrer un risque élevé pour les droits des personnes physiques.

Attendons donc les prochains mois pour nous éclairer sur la politique de contrôle de la CNIL relative aux AIPD. Impact ou non, telle est la question !

Eric A. Caprioli et Isabelle Cantero, avocats associés
Caprioli & Associés, société membre du réseau JurisDéfi



Les avis d'experts sont publiés sous l'entière responsabilité de leurs auteurs et n'engagent en rien la rédaction

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.