L'analyse d'impact relative à la protection des données selon l'art. 35 DSGVO est obligatoire pour les traitements à haut risque. Découvrez quand elle s'applique, comment structurer le processus et quelles erreurs éviter.
Analyse d'impact relative à la protection des données : quand est-elle obligatoire ?
Peu d'instruments du DSGVO suscitent autant d'incertitude dans la pratique que l'analyse d'impact relative à la protection des données (AIPD). De nombreuses entreprises savent qu'elle existe, mais la question de savoir exactement quand une AIPD doit être réalisée et à quoi elle doit concrètement ressembler reste souvent sans réponse. Or, en cas de manquement, des amendes substantielles sont encourues. Cet article vous fournit un guide orienté vers la pratique pour qualifier correctement l'obligation d'AIPD et structurer le processus efficacement.
Base juridique : art. 35 DSGVO en un coup d'œil
L'analyse d'impact relative à la protection des données est régie par l'art. 35 du règlement général sur la protection des données (DSGVO). Selon l'alinéa 1, une AIPD doit être réalisée chaque fois qu'un type de traitement de données à caractère personnel est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques. L'utilisation de nouvelles technologies doit être particulièrement prise en compte.
L'AIPD n'est pas un exercice ponctuel mais un processus continu. Si les circonstances du traitement évoluent, l'AIPD existante doit être réexaminée et, le cas échéant, mise à jour.
Distinction avec l'analyse de risques générale
Une distinction importante : l'AIPD va au-delà de l'analyse de risques générale que vous devriez de toute façon effectuer dans le cadre de votre gestion de la protection des données. Tandis que l'analyse de risques générale concerne toutes les activités de traitement, l'AIPD ne s'applique qu'aux traitements présentant un risque vraisemblablement élevé. Elle constitue en quelque sorte l'examen approfondi pour les traitements de données particulièrement critiques.
Quand une AIPD est-elle obligatoire ?
Les trois exemples types de l'art. 35, al. 3 DSGVO
Le législateur énonce à l'art. 35, al. 3 DSGVO trois catégories dans lesquelles une AIPD est notamment requise :
- Évaluation systématique et approfondie d'aspects personnels (profilage) : cela couvre les traitements automatisés, y compris le profilage, sur la base desquels sont prises des décisions produisant des effets juridiques à l'égard de personnes physiques ou les affectant de manière significative.
- Traitement à grande échelle de catégories particulières de données : lorsque des données de santé, des données biométriques, des données relatives aux opinions politiques ou d'autres données sensibles au sens de l'art. 9 DSGVO sont traitées à grande échelle, une AIPD doit être réalisée.
- Surveillance systématique à grande échelle de zones accessibles au public : cela concerne notamment les dispositifs de vidéosurveillance dans les espaces accessibles au public.
La liste noire des autorités de contrôle
Outre les exemples types, les autorités de contrôle allemandes ont publié, conformément à l'art. 35, al. 4 DSGVO, une liste noire (également appelée liste obligatoire). Cette liste contient des activités de traitement concrètes pour lesquelles une AIPD doit impérativement être réalisée. Parmi les cas mentionnés figurent :
- Utilisation de procédures de scoring pour évaluer la solvabilité
- Traitement à grande échelle de données des salariés à des fins de contrôle du comportement et des performances
- Création de profils détaillés sur les intérêts, les lieux de séjour ou les déplacements de personnes physiques
- Agrégation de données à caractère personnel provenant de différentes sources (data warehousing)
- Utilisation de l'intelligence artificielle pour le traitement de données à caractère personnel en vue de piloter l'interaction avec les personnes concernées
- Traitement de données soumises au secret social, professionnel ou de fonction
La liste noire n'est pas exhaustive. Des traitements ne figurant pas sur la liste peuvent également nécessiter une AIPD s'ils présentent un risque élevé.
Exemples pratiques tirés du quotidien des entreprises
Pour rendre l'obligation d'AIPD plus concrète, voici quelques scénarios :
- Vidéosurveillance sur le lieu de travail : une vidéosurveillance étendue dans les bureaux ou les locaux de production requiert régulièrement une AIPD, car les salariés sont systématiquement surveillés.
- Géolocalisation des véhicules de fonction : si la position des véhicules de l'entreprise est enregistrée en permanence pour contrôler les itinéraires ou les heures de travail, il y a surveillance systématique.
- Présélection des candidats par IA : la présélection automatisée de candidatures par des algorithmes constitue un profilage déclenchant une AIPD.
- Programmes de fidélisation avec création de profils : si vous créez des profils clients détaillés à partir du comportement d'achat, de données de localisation et d'informations démographiques, une AIPD est requise.
Le processus d'AIPD étape par étape
Étape 1 : analyse de seuil
Avant de réaliser une AIPD complète, une analyse de seuil est recommandée. Cette vérification préliminaire vise à déterminer si un risque élevé existe effectivement et si une AIPD est nécessaire. Documentez soigneusement le résultat de l'analyse de seuil. Même un résultat négatif (pas d'AIPD nécessaire) doit être motivé de manière compréhensible.
Étape 2 : description systématique du traitement
Si une AIPD est requise, commencez par une description détaillée des opérations de traitement prévues :
- Finalité du traitement : quel objectif poursuivez-vous ?
- Nature des données : quelles données à caractère personnel sont traitées ?
- Personnes concernées : qui est affecté par le traitement ?
- Destinataires des données : à qui les données sont-elles communiquées ?
- Durée de conservation : combien de temps les données sont-elles conservées ?
- Mesures techniques et organisationnelles : quelles mesures de protection sont prévues ?
- Base juridique : sur quelle base légale le traitement est-il effectué ?
Étape 3 : évaluation de la nécessité et de la proportionnalité
Vérifiez si le traitement prévu est nécessaire et proportionné par rapport à la finalité poursuivie. Existe-t-il des moyens moins intrusifs permettant d'atteindre le même objectif sans créer un risque aussi élevé pour les personnes concernées ? Cette vérification est un élément central de l'AIPD et ne doit pas être traitée de manière purement formelle.
Étape 4 : évaluation des risques
Évaluez les risques pour les droits et libertés des personnes concernées. Tenez compte de :
- Probabilité de survenance : quelle est la probabilité que le risque se matérialise ?
- Gravité du préjudice : quelles seraient les conséquences pour les personnes concernées en cas de survenance du risque ?
Les risques doivent être présentés dans une matrice tenant compte à la fois de la probabilité de survenance et de la gravité du préjudice. Les catégories de risques typiques sont : dommages physiques, matériels ou immatériels, discrimination, usurpation d'identité, pertes financières, atteinte à la réputation ou perte de confidentialité.
Étape 5 : définir les mesures correctives
Pour chaque risque identifié, vous devez définir des mesures correctives ramenant le risque à un niveau acceptable. Parmi les mesures typiques :
- Pseudonymisation et chiffrement
- Restrictions d'accès et concepts d'habilitation
- Contrôle et suppression réguliers
- Formation des collaborateurs
- Transparence envers les personnes concernées
Le rôle du délégué à la protection des données
Conformément à l'art. 35, al. 2 DSGVO, l'avis du délégué à la protection des données doit être sollicité lors de la réalisation d'une AIPD, lorsqu'un tel délégué a été désigné. Le délégué a un rôle consultatif. La responsabilité de la réalisation de l'AIPD et des décisions qui en résultent incombe au responsable du traitement, c'est-à-dire en règle générale à la direction.
Dans la pratique, il est recommandé d'impliquer le délégué à la protection des données dès le début du processus. Son expertise peut contribuer à identifier les risques précocement et à déterminer les mesures correctives appropriées.
Consultation de l'autorité de contrôle selon l'art. 36 DSGVO
Si l'AIPD révèle que le traitement présenterait, malgré toutes les mesures correctives, un risque résiduel élevé, le responsable du traitement est tenu, conformément à l'art. 36 DSGVO, de consulter l'autorité de contrôle compétente avant le traitement. Cette consultation préalable est rare en pratique, mais ne doit pas être négligée. L'autorité de contrôle peut, dans le cadre de la consultation, émettre des recommandations ou interdire le traitement.
Documentation et lien avec le registre des activités de traitement
L'AIPD doit être documentée de manière exhaustive. Une documentation appropriée comprend :
- Description des opérations de traitement et de leurs finalités
- Évaluation de la nécessité et de la proportionnalité
- Résultat de l'évaluation des risques
- Mesures correctives prévues
- Avis du délégué à la protection des données
- Date et personnes responsables
L'AIPD doit en outre être reliée à votre registre des activités de traitement (art. 30 DSGVO). Idéalement, les entrées correspondantes du registre renvoient à l'AIPD associée et inversement. Vous créez ainsi une documentation de protection des données cohérente et exhaustive.
Erreurs fréquentes en pratique
Erreur 1 : l'AIPD traitée comme une simple formalité
De nombreuses entreprises rédigent une AIPD uniquement pour satisfaire à leur obligation, sans analyser véritablement les risques en profondeur. Une telle AIPD de façade ne résiste pas à un contrôle de l'autorité de surveillance.
Erreur 2 : absence de mise à jour
Une AIPD n'est pas un document ponctuel. Si les circonstances du traitement évoluent, par exemple par l'utilisation d'un nouveau logiciel, de nouveaux destinataires de données ou des finalités modifiées, l'AIPD doit être réexaminée et adaptée.
Erreur 3 : le délégué à la protection des données n'est pas impliqué
Ignorer le délégué à la protection des données constitue non seulement une erreur procédurale, mais gaspille également une expertise précieuse.
Erreur 4 : pas d'analyse de seuil
Sans analyse de seuil documentée, vous ne pouvez pas prouver a posteriori pourquoi vous avez renoncé à une AIPD. Cela peut s'avérer problématique en cas de contrôle de l'autorité de surveillance.
Conclusion
L'analyse d'impact relative à la protection des données est un instrument indispensable de la gestion de la protection des données fondée sur les risques. Elle protège non seulement les droits des personnes concernées, mais aussi votre entreprise contre les mesures de l'autorité de contrôle et les atteintes à la réputation. L'essentiel est de considérer l'AIPD non pas comme un obstacle bureaucratique, mais comme une opportunité d'examiner et d'améliorer systématiquement les processus de traitement des données.
Chez compleneo, nous accompagnons les entreprises dans la mise en place d'un processus d'AIPD pragmatique, de l'analyse de seuil à l'évaluation des risques jusqu'à la documentation complète. Contactez-nous si vous avez des questions sur l'analyse d'impact relative à la protection des données ou si vous avez besoin d'un soutien dans sa mise en œuvre.
