ANALISE D’IMPACT

I. À QUOI ÇA SERT UNE ÉTUDE D’IMPACT

 AIPD : Analyse d’impact relative à la protection des données (DPIA : Date Protection Impact
Assesment), PIA (Privacy Impact assesment)
 Construire un traitement de données personnelles ou un produit respectueux de la vie privée.

 Apprécier les impacts sur la vie privée des personnes concernées.

 Démontrer que les principes fondamentaux du règlement sont respectés.

II. QUAND RÉALISER UNE ANALYSE D’IMPACT ? (ART. 35 DU RGPD)

 UN DPIA OU PIA n’est pas obligatoire sauf si le traitement est « susceptible d’engendrer un risque
élevé pour les droits et libertés des personnes physiques » (article 35).
 Contenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible
d’engendrer un risque élevé.
 Une seule et même analyse peut porter sur un ensemble d'opérations de traitement similaires
qui présentent des risques élevés similaires.
 Lorsqu'il effectue une analyse d'impact relative à la protection des données, le RT demande
conseil au délégué à la protection des données, si un tel délégué a été désigné.

 La réunion de 2 critères des neuf suivants, justifie la réalisation d’une analyse d’impact :

1. Traitement des données, dites, sensibles ou particulières (santé, appartenance syndicale,

politique, génétique, origine raciale, orientation sexuelle, ...).
2. Surveillance systématique à grande échelle d'une zone accessible au public(vidéosurveillance)
3. Utilisation des nouvelles technologies (solutions innovantes, nouvelle application,
fonctionalité)
4. Évaluation ou notation des personne (scoring, profiling)
5. Traitement de données à grande échelle.
6. Prise de décision automatique à l’aide d’algorithmes.
 7. Croisement de données (matching).
8. Traitement empêchant les personnes concernées à exercer un droit ou ou à bénéficier d’in
service ou d’un contrat.
9. Traitement concernant des personnes vulnérables (salariés, patients, enfants, personnes
agées, ..)

 L’AIPD n’est pas nécessaire (jusqu’au 2020), si le traitement a fait l’objet des formalités au sens
de l’ancienne loi (déclaration, autorisation) et qu’il n’a fait l’objet d’aucune modification
substentielle.
 Désormais, l’AIPD est obligatoire et urgente.
 L’AIPD doit être menée avant la mise en œuvre de traitement. Elle doit être démarrée le plus en
amont possible et sera mise à jour tout au long du cycle de vie du traitement.
 Il est recommandé de revoir une AIPD de manière régulière pour s’assurer que le niveau de
risque reste acceptable.

III. Exemples de la CNIL concernant des traitements soumis à AIPD

 Traitements de données de santé par les établissements de santé ou médicosociaux pour la

prise en charge des personnes (ex. traitements mis en œuvre par des CHU).
 Traitements de données génétiques de personnes dites « vulnérables » (patients, employés,
enfants, etc.) (ex. gestion d’une consultation de génétique par un établissement de santé)
 Profilage de personnes à des fins de gestion des ressources humaines (ex. facilitation du
recrutement par un algorithme de sélection)
 Surveillance constante de l’activité des employés (ex. vidéosurveillance d’entrepôt de biens
de valeurs).
 Gestion des alertes et des signalements en matière sociale et sanitaire (ex. dispositif de
signalement de mineur en danger)
 Gestion des alertes et des signalements en matière professionnelle (ex. dispositifs de recueil
d’alerte professionnelle pour organisme privé ou public concerné)
 Traitements des données dans un entrepôt de données (ex. entrepôt de données de santé
par un établissement de santé pour de la recherche)
  Profilage des personnes pouvant aboutir à leur exclusion du bénéfice d’un contrat ou à la
suspension voire à la rupture de celui-ci (ex. Lutte contre la fraude aux moyens de paiement,
analyse comportementale pour supprimer un comportement déviant sur un RS)
 Traitements mutualisés de manquements contractuels constatés, susceptibles d’aboutir à
une décision d’exclusion ou de suspension du bénéfice d’un contrat (ex. création d’un score
pour l’octroi d’un crédit)
 Profilage faisant appel à des données provenant de sources externes (ex. data broker,
personnalisation de la publicité en ligne)
 Traitements de données biométriques aux fins de reconnaissance de personnes «
vulnérables » (élèves, personnes âgées, patients, demandeurs d’asile, etc.) (ex. contrôle
d’accès à une cantine par reconnaissance du contour de la main)
 Gestion des logements sociaux (ex. instruction des demandes de logement social en location)
 Accompagnement social ou médico-social des personnes (ex. prise en charge de personnes
en insertion ou réinsertion professionnelle)
 Traitements de données de localisation à large échelle (ex. système de billettique par des
opérateurs de transport, application mobile pour collecter des données de géolocalisation
des utilisateurs).

IV. Quand un DPIA n’es pas obligatoire

 Le traitement ne présente pas de risque élevé pour les droits et libertés des personnes
concernées
 La nature, la portée, le contexte et les finalités du traitement envisagé sont très similaires à un
traitement pour lequel un DPIA a déjà été mené
 Le traitement répond à une obligation légale ou est nécessaire à l’exercice d’une mission de
service public (art 6.1.c 6.1.e), sous réserve que certaines conditions soient remplies.

V. QUEL EST LE CONTENU D’UNE AIPD

1. Une description des opérations de traitements et de ses finalités, y compris l’intérêt

légitime du RT : Aspects technique et opérationnels
 2. Une évaluation de la nécessité et de la proportionnalité́ du traitement par rapport à ses
finalités (Principes et droits fondamentaux ) : finalité, données, durées de conservation,
information,..
3. Une évaluation des risques pour les droits des personnes concernées (Confidentialité,
Intégrité, disponibilité).
4. Les mesures envisagées pour faire face aux risques évalues, y compris les garanties,
mesures et mécanismes de sécurité visant à assurer la protection des DCP et à apporter la
preuve du respect de l’intérêt légitimes des personnes concernés et des autres personnes
affectée.
VI. QUAND transmettre l’AIPD au CNIL

1. Si la législation nationale d’un État membre l’exige.

2. En cas de contrôle de la CNIL.
3. Si le niveau de risque résiduel est élevé.

VII. IMPORTANT
 Une AIPD est recommandée pour tout traitement avec suspicion de risque d’impact sur la vie
privée
 Les états membres peuvent exiger que les RT consultent l’AC pour tout traitement dans le cadre
d’une d’intérêt public, y compris protection sociale et santé publique.
 L’AIPD doit être menée avant la mise en œuvre du traitement
 L’AIPD doit être renouvelée tous les 3 ans ou avant en cas de modification substantielle dans le
traitement
 Examen de conformité́ : Vérifier périodiquement que le traitement est réalisé conformément à
l’AIPD.