L’AIPD est née d’une volonté de simplifier les formalités imposées par la réglementation et imposer une procédure dans le cas où un traitement de données à caractère personnel présente d’importants risques qui engendrent sur les droits et libertés des utilisateurs affectés. 

L’AIPD comme outil responsable de traitement

L’AIPD est un outil primordial qui permet de responsabiliser les organismes en terme de respect sur la vie privée et le traitement des données à caractère personnel. Il aide à démontrer leur conformité au Règlement RGPD. Celui-ci est obligatoire pour le traitement susceptible d’engendrer des risques élevés.

Dans le RGPD, on retrouve le terme AIPD en anglais soit “Data Protection Impact Assessment”. Dans toutes les autres régions du monde, il est communément appelé le PIA, Privacy Impact Assessment.

Trois parties composent l’analyse AIPD :

  • La description avec le détail du traitement aussi bien sur le plan technique qu’opérationnel
  • L’évaluation sur le plan juridique : principes et droits fondamentaux (objectif de collecte des informations, conservation des données,...)
  • L’étude sur les risques, l’impact et la sécurité (confidentialité des données)

Quand on parle de “risque sur la vie privée” on se réfère à un événement redouté qui puisse générer un impact potentiel sur les droits et libertés d’un utilisateur. Quand il y a une atteinte sur la confidentialité des données, on distingue la gravité de la vraisemblance (scénario de reproduction). L’état de gravité est estimé par les responsables du traitement des données sur les éventuelles conséquences. 

Une AIPD peut concerner un traitement unique voire un ensemble de traitements similaires. Elle peut être mise en place par un fournisseur pour évaluer l’impact sur la protection des données de son produit. Les responsables qui utilisent ce dit produit (service, logiciel,...) devront également mener leurs AIPD en parallèle.

Une analyse d’impact est-elle nécessairement obligatoire ?

Il faut mener une AIPD quand le traitement est “susceptible d’engendrer un haut risque concernant les droits et libertés des personnes concernées” et s’il remplit au moins deux critères issus de l’article 29 des lignes directives du CEPD, comité européen de la protection des données (données concernant les personnes considérées vulnérables, données personnelles à grande échelle, géolocalisation, profilage, usage innovant,...).

Elle n’est par contre pas indispensable quand :

  • le traitement apparaît sur la liste des exceptions adoptés par la CNIL 
  • le traitement n’aborde pas des sujets qui présentent un risque élevé relatif aux droits et libertés de la personne concernée
  • le contexte et la finalité du traitement des données s’avère similaire au traitement de l’AIPD menée
  • le traitement est mis en place par rapport à une obligation légale ou sollicité pour une mission de service public (article 6 du RGPD)

A quel moment et comment fait-on une analyse d’impact ?

Une AIPD doit être mis en place le plus tôt possible en amont de la mise en oeuvre du traitement. Il faut effectuer des mises à jour par la suite afin de revoir régulièrement l’analyse et vérifier le niveau de risque tout au long du traitement.

Soit le responsable de traitement, soit le délégué qui veille à la protection des données vérifie la bonne exécution de l’AIPD et s’assure de la conformité du traitement. Il peut être demandé l’avis des personnes concernées par le biais d’un sondage ou une enquête.

Pour réaliser une analyse d’impact conforme, le règlement impose une série de cinq étapes obligatoires ainsi que deux consultations. Elle doit contenir au minimum :

  • une description des opérations de traitement envisagée
  • la visée du traitement 
  • un ajustement proportionnel des opérations à mettre en place en regard de l’intérêt final 
  • une évaluation des risques sur les libertés et droits des utilisateurs
  • une maîtrise avec des garanties et mesures pour prouver le respect du règlement sur la protection des données et atténuer les risques

Plusieurs méthodes sont disponibles pour établir une analyse AIPD selon les critères définis dans les guides et annexes. L’analyse doit ensuite être transmise au CNIL dans le cas où le niveau de risque est élevé ou si la législation l’exige (directive Police-Justice, profilage, traitement de données sensibles à grande échelle, surveillance de zones publiques).

Cas particulier lorsqu’une AIPD est toujours requise

Comme il est difficile de définir quels sont concrètement les traitements par nature considérés les plus risqués, le RGPD a donc mis en relief ces points dans une liste de traitements spécifiques (article 35). Dans le domaine de la santé, l’AIPD est généralement impérative. 

Sanctions en cas de manquement

Una analyse AIPD doit être comme indiqué précédemment menée avant même la mise en oeuvre du traitement. Si ce “timing” n’est pas respecté on parle d’illégalité et une entreprise peut s’exposer à des sanctions. 

Ne pas procéder à une AIPD ou bien la faire incorrectement est lourdement sanctionné. En plus d’une amende élevée, les entreprises doivent rajouter dans leur plan d’action la mise en conformité et la réalisation d’une analyse d’impact.

Les montants peuvent atteindre jusqu'à 10 000 000 euros ou soit, pour une entreprise, jusqu'à 2 % de son chiffre d'affaires annuel total de l'exercice précédent, le montant le plus élevé étant retenu (article 83(4)(a)).