[mis à jour le 25 aout 2017] La GDPR (Règlement 2016/679) prévoit dès le 25 mai 2018 un régime particulier pour certains traitements de données à caractère personnel « susceptibles d’engendrer un risque élevé pour les droits et libertés« . C’est l’obligation de réaliser une analyse d’impact (ou « Privacy Impact Assessment » en Brexit dans le texte). DANS MOINS DE 9 MOIS…

Si le principe semble clair, la définition de ce type de traitements « à grande échelle » l’est beaucoup moins.

[wonderplugin_gallery id= »64″]

Les 3 hypothèses prévues dans la GDPR

Seuls 3 cas sont prévus dans la GDPR pour l’obligation de réaliser une étude d’impact :

• « l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire« 

• « le traitement à grande échelle » de données (sensibles ou pénales)

• « la surveillance systématique à grande échelle d’une zone accessible au public« .

A la lecture de ces 3 hypothèses, vous comprenez mieux le titre de cette présentation ? C’est la première qui, par sa clarté (euphémisme), semble poser le plus de problème… Quoi que…

L’analyse d’un double risque

Le terme anglo-saxon désignant l’étude d’impact (« Privacy Impact Assessment« ) est plus révélateur de la nature de ce document et des objectifs visés par la GDPR que sa traduction en français. Il s’agit bien d’un rapport détaillé sur les risques qu’un traitement peut faire courir à la vie privée des personnes dont les données sont traitées.

Les risques à identifier dans cette étude ? D’abord : quelles conséquences pratiques l’existence même du traitement fait courir à chaque personne dont les données sont traitées ? 

Ensuite ? En cas de faille de sécurité et de fuite de données, quelles conséquences sur le respect  de la vie privée de la personne fichée ? C’est le critère posé par l’article 36.1 GDPR : « lorsque le Privacy Impact Assessment indique que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque ». Les « mesures » prises par le responsable du traitement sont notamment les mesures techniques de pseudonymisation (encore) et/ou de chiffrement lors du transport de la donnée ou de son stockage. Et l’on revient ici aux impératifs de « compliance » juridique et technique, par la nécessité d’adopter des « mesures appropriées »… L’impératif est d’assurer la sécurité du traitement. Pour l’entreprise comme pour la personne concernée.

La liste des traitements obligatoirement soumis à « Privacy Impact Assessment »

Chaque Autorité de contrôle devra publier la liste des traitements obligatoirement soumis à « Privacy Impact Assessment ». 

Si votre traitement ne figure pas dans la liste, vous êtes sensé vous sentir à l’abri de cette contrainte ? Hélas… S’il existe des critères pour la réalisation préalable de cette étude d’impact, c’est qu’il appartient à vous, responsables de traitement, de réfléchir aux impacts de vos traitement sur les droits et libertés des personnes dont vous traitez les données personnelles. Même si votre traitement ne figure pas sur la liste de la CNIL. Et dans le doute, s’abstenir ? Je ne le vous conseille pas…

Avec un peu de chance, votre traitement figurera même sur la liste de ceux qui sont exonérés d’étude d’impact. Enfin, si la CNIL publie cette liste… J’ai peur que cette possibilité ne reste théorique, dans la mesure ou l’article 35.5 GDPR prévoit que l’Autorité de contrôle « peut publier« , alors que l’article 35.4 prévoit que les autorités de contrôle « publient » la liste des traitements soumis obligatoirement à analyse d’impact. 

Le contrôle de cohérence de l’UE 

Evidemment, si un traitement « à grande échelle » concerne plusieurs Etats membre, le Privacy Impact Assessment sera obligatoirement soumis au mécanisme de contrôle de cohérence de l’UE. ça ne va pas accélérer le process de mise en oeuvre de ce type de traitements…

La transmission de l’analyse d’impact à la CNIL : et ensuite ?

C’est tellement pas clair dans la GDPR : dans quels cas faut-il transmettre son Privacy Impact Assessment à la CNIL ? Allons plus loin dans la réflexion :

– vous ne réalisez pas de Privacy Impact Assessment avant d’opérer votre traitement ?

– vous oubliez de transmettre l’étude d’impact à la CNIL ?

– vous minimisez la réalité des risques que fait courir votre traitement aux personnes dont vous traitez les données ?

– vous ne répondez pas aux injonctions (mineures) de la CNIL ?

– vous faites obstruction à l’enquête de la CNIL ?

– vous résistez aux injonctions de faire de la CNIL ?

Vous êtes sérieux ? Je vous rappelle les sanctions maximales qu’encoure votre entreprise ? 

Comme pour l’ensemble des autres dispositions de la GDPR, le défaut de production d’une étude d’impact sera sanctionné au format « 10 millions / 2% du chiffre d’affaire mondial« . Si vous avez suivi sur ce blog l’étude successive des obligations imposées par la GDPR aux entreprises , vous ne serez pas surpris. Juste effrayé peut-être ? 

Votre audit GDPR

Il serait temps d’y réfléchir…

Une fois identifiés les traitements auxquels votre entreprise procède, une fois identifiées les finalités et les « bases juridiques » de vos traitements (avec / sans consentement), vous vérifierez la nature des données que vous traitez (sensibles ? pénales ?) et alors, vous pourrez envisager la rédaction d’un Privacy Impact Assessment. Ne pas le faire serait suicidaire. Et je ne l’écris pas que parce que ça rime…

Si vous cherchez une synthèse de la GDPR et un début de méthode d’audit, c’est ici qu’il faut cliquer.

Merci encore à Fabrice Lebeault, auteur de ce très remarquable « Horologiom » pour son autorisation de modifier les phylactères originaux (et surtout d’en conserver certains). Merci à la Team Delcourt, Lucie Massena et Sébastien Le Foll, pour leur aide et leurs encouragements. Sans ces magnifiques dessins, l’analyse détaillée de cette GDPR serait franchement pénible… Déjà que le sujet en lui-même est – certes très important mais – pas franchement drôle…