L’article 35 du Règlement Général sur la Protection des Données (RGPD) prévoit qu’une analyse d’impact soit réalisée lorsque le traitement d’une ou de plusieurs données personnelles est susceptible de générer un risque élevé pour les droits et libertés des personnes dont il est question. Mais dans quels cas précis une telle analyse d’impact doit-elle être effectuée ?
La définition de la gravité du risque
Pour déterminer si une analyse d’impact doit être réalisée, il est nécessaire d’évaluer la gravité du risque par rapport aux conséquences vraisemblables que ce dernier peut avoir sur les personnes dont les données personnelles ont été collectées. Selon le RGPD, un risque élevé couvre les cas suivants : un accès non autorisé aux données personnelles d’une personne, la modification non autorisée de ces mêmes données personnelles, enfin, la disparition desdites données.
L’article 35 du RGPD liste diverses situations donnant lieu à la réalisation d’une étude d’impact :
• L’évaluation ordonnée et poussée d’aspects personnels relatifs aux personnes physiques, laquelle repose sur un traitement automatisé, et par laquelle sont prises des décisions produisant des effets juridiques à l’encontre d’une personne physique, ou bien qui l’affectent de façon importante ;
• Le traitement à grande échelle de catégories de données sensibles spécifiques ou de données à caractère personnel inhérentes à des condamnations et infractions d’ordre pénal ;
• La surveillance systématique et à grande échelle d’une zone accessible au public.
À quoi ressemble l’analyse d’impact ?
L’analyse d’impact se décompose de cette façon : on trouve d’abord une évaluation du système de traitement actuel, laquelle repose sur une analyse comparative avec les principes et droits fondamentaux (finalités, durée de conservation des données, droits des individus etc.) ; dans un second lieu, l’analyse d’impact comprend une étude élaborée des risques sur la sécurité des données (abus, accès à certaines données personnelles voire disparition de ces dernières).
À noter que l’article 35 du RGPD donne des indications claires quant à la mise en forme de l’analyse d’impact. Par ailleurs, la CNIL met à la disposition des administrations et entreprises un logiciel totalement gratuit qui permet de procéder à une analyse d’impact sur la protection des données personnelles, ou PIA. Un tel outil peut typiquement être utilisé par le Responsable de Traitement ou le Délégué à la Protection des Données (DPO). Votre spécialiste de la protection des données et de la destruction de disque dur Destrudata reste à votre disposition pour tout complément d’informations.