RGPD
Mise à jour : 04 mai 2022Dès lors qu'un traitement de données présente un risque élevé pour les droits et libertés des personnes physiques, l'employeur doit réaliser une analyse d'impact Règl. UE nº 2016/679, 27 avr. 2016, art. 35.
Les systèmes concernés sont principalement ceux traitant des données sensibles (appartenance syndicale, données génétiques ou biométriques) (Cnil, Délib. nº 2018-326, 11 oct. 2018).
Quels systèmes doivent donner lieu à une analyse d'impact ?
Le RGPD désigne plusieurs traitements nécessitant une analyse d'impact :
- évaluation systématique et approfondie d'aspects personnels, fondée sur un traitement automatisé et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l'égard d'une personne physique ou l'affectant de manière significative de façon similaire
- traitement à grande échelle de données sensibles ou relatives à des condamnations pénales et des infractions
- surveillance systématique à grande échelle d'une zone accessible au public Regl. UE nº 2016/679, 27 avr. 2016, art. 35.
La Cnil ajoute à ces trois situations neuf critères dégagés avec ses homologues européens, susceptibles de caractériser un risque élevé, nécessitant une analyse d'impact :
- données traitées à grande échelle
- données sensibles (origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, données génétiques ou de santé, données biométriques et données concernant la vie ou l'orientation sexuelle) ou données à caractère hautement personnel (données relatives à des communications électroniques, données de localisation, données financières, etc.)
- données concernant des personnes vulnérables (patients, personnes âgées, enfants, etc.)
- croisement ou combinaison de données
- évaluation/scoring (y compris le profilage)
- prise de décision automatisée avec un effet juridique ou similaire
- surveillance systématique de personnes
- traitement pouvant exclure du bénéfice d'un droit, d'un service ou d'un contrat
- utilisation innovante ou application de nouvelles solutions technologiques ou organisationnelles.
Attention
Les traitements de données mis en œuvre avant l'entrée en vigueur du RGPD (le 25 mai 2018) pour lesquels les formalités auprès de la Cnil ont été respectées n'avaient pas à être soumis à une analyse d'impact durant trois ans à compter du 25 mai 2018, sauf s'ils connaissaient une modification substantielle. Cette tolérance prend fin le 25 mai 2021.
Concernant la gestion du personnel, quels traitements doivent faire l'objet d'une analyse d'impact ?
La Cnil présente trois situations concernant la gestion du personnel où une analyse d'impact s'impose (Cnil Délib. nº 2019-160, 21 nov. 2019) :
- les traitements établissant des profils de salariés (notamment les algorithmes d'aide au recrutement, à la formation ou à l'anticipation des départs)
- les traitements surveillant de manière constante l'activité des salariés (analyse des flux de courriels, vidéosurveillance des personnes manipulant de l'argent ou des lieux où sont entreposés des biens, enregistrement GPS dans les véhicules)
- les traitements ayant pour finalité la gestion des alertes et des signalements en matière professionnelle.
Attention
Cette liste n'est pas exhaustive. La Cnil peut être amenée à la compléter à l'avenir. Pour connaître précisément les critères permettant d'analyser si le traitement nécessite une analyse d'impact : voir question dédiée.
Comment rédiger l'analyse d'impact ?
L'analyse d'impact comprend impérativement Règl. UE nº 2016/679, 27 avr. 2016, art. 35 :
- une description systématique des opérations de traitement envisagées et de leurs finalités, y compris l'intérêt légitime poursuivi par l'employeur
- une évaluation de la nécessité et de la proportionnalité au regard des finalités
- une évaluation des risques pour les droits et libertés des personnes concernées
- les mesures envisagées pour faire face aux risques (garanties, mesures et mécanismes de sécurité).
Attention
Si, malgré les mesures envisagées, l'analyse d'impact laisse entrevoir des risques élevés résiduels pour les droits et libertés des personnes, elle doit être impérativement transmise à la Cnil. Cette dernière pourra aussi demander que l'analyse d'impact lui soit transmise dans le cadre de l'instruction des plaintes dont elle est saisie, ou à l'occasion d'un contrôle des traitements de données.
Remarque
Si plusieurs opérations de traitements de données similaires sont mises en place dans une même entreprise, elles peuvent être regroupées dans une seule analyse d'impact.
Certains traitement sont-ils dispensés d'analyse d'impact ?
Trois types de traitement mettant en jeu employeurs, institutions représentatives du personnel et salariés sont au contraire dispensés d'analyse d'impact :
- les traitements uniquement à des fins de ressources humaines, pour la seule gestion du personnel des entreprises qui emploient moins de 250 salariés (à l'exception du recours au profilage)
- les traitements destinés à la gestion des activités des comités sociaux et économiques
- les traitements aux seules fins de gestion des contrôles d'accès physiques et des horaires pour le calcul du temps de travail, en dehors de tout dispositif biométrique et à l'exclusion des traitements qui révèlent des données sensibles ou à caractère hautement personnel (Délib. Cnil nº 2019-118, 12 sept. 2019).
À quel moment faut-il réaliser l'analyse d'impact ?
L'analyse d'impact doit être impérativement menée préalablement à la mise en place du système de traitement de données. Elle doit être révisée régulièrement, au minimum tous les trois ans, afin de s'assurer que le niveau de risque demeure acceptable.
Qui peut participer à l'élaboration de l'analyse d'impact ?
Plusieurs acteurs peuvent participer à l'élaboration de l'analyse d'impact :
- le délégué à la protection des données désigné dans l'entreprise (voir question dédiée) dont le conseil doit être formalisé dans l'analyse d'impact
- le responsable de la sécurité des systèmes d'information
- les sous-traitants qui sont impliqués. Ils sont tenus à une obligation de coopération
- les personnes concernées par le traitement de données ou leurs représentants qui peuvent être consultés
- le maître d'ouvrage éventuel.
La Cnil recommande de rédiger et de publier un rapport sur l'élaboration de l'analyse d'impact afin de favoriser un climat de transparence et de confiance entre l'entreprise opérant le traitement de données et les personnes concernées (Cnil, Délib. nº 2018-326, 11 oct. 2018 ; Cnil, Délib. nº 2018-327, 11 oct. 2018).
Quelle méthode suivre pour réaliser l'analyse d'impact ?
La Cnil propose d'opérer en quatre temps :
- délimiter et décrire le contexte du traitement de données
- analyser les mesures destinées à préserver les principes fondamentaux et les droits des personnes concernées
- apprécier les risques relatifs à la vie privée que fait peser le traitement de données et vérifier qu'ils sont pris en charge
- formaliser l'analyse d'impact.
créez votre compte gratuitement !
créez votre compte gratuitement !
Les traitements de données mis en œuvre avant l'entrée en vigueur du RGPD (le 25 mai 2018) pour lesquels les formalités auprès de la Cnil ont été respectées n'avaient pas à être soumis à une analyse d'impact durant trois ans à compter du 25 mai 2018, sauf s'ils connaissaient une modification substantielle. Cette tolérance prend fin le 25 mai 2021.
Cette liste n'est pas exhaustive. La Cnil peut être amenée à la compléter à l'avenir. Pour connaître précisément les critères permettant d'analyser si le traitement nécessite une analyse d'impact : voir question dédiée.
Si, malgré les mesures envisagées, l'analyse d'impact laisse entrevoir des risques élevés résiduels pour les droits et libertés des personnes, elle doit être impérativement transmise à la Cnil. Cette dernière pourra aussi demander que l'analyse d'impact lui soit transmise dans le cadre de l'instruction des plaintes dont elle est saisie, ou à l'occasion d'un contrôle des traitements de données.