RGPD

Le RGPD désigne plusieurs traitements nécessitant une analyse d'impact :

• évaluation systématique et approfondie d'aspects personnels, fondée sur un traitement automatisé et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l'égard d'une personne physique ou l'affectant de manière significative de façon similaire
• traitement à grande échelle de données sensibles ou relatives à des condamnations pénales et des infractions
• surveillance systématique à grande échelle d'une zone accessible au public Regl. UE nº 2016/679, 27 avr. 2016, art. 35.

La Cnil ajoute à ces trois situations neuf critères dégagés avec ses homologues européens, susceptibles de caractériser un risque élevé, nécessitant une analyse d'impact :

• données traitées à grande échelle
• données sensibles (origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, données génétiques ou de santé, données biométriques et données concernant la vie ou l'orientation sexuelle) ou données à caractère hautement personnel (données relatives à des communications électroniques, données de localisation, données financières, etc.)
• données concernant des personnes vulnérables (patients, personnes âgées, enfants, etc.)
• croisement ou combinaison de données
• évaluation/scoring (y compris le profilage)
• prise de décision automatisée avec un effet juridique ou similaire
• surveillance systématique de personnes
• traitement pouvant exclure du bénéfice d'un droit, d'un service ou d'un contrat
• utilisation innovante ou application de nouvelles solutions technologiques ou organisationnelles.

La Cnil présente trois situations concernant la gestion du personnel où une analyse d'impact s'impose (Cnil Délib. nº 2019-160, 21 nov. 2019) :

• les traitements établissant des profils de salariés (notamment les algorithmes d'aide au recrutement, à la formation ou à l'anticipation des départs)
• les traitements surveillant de manière constante l'activité des salariés (analyse des flux de courriels, vidéosurveillance des personnes manipulant de l'argent ou des lieux où sont entreposés des biens, enregistrement GPS dans les véhicules)
• les traitements ayant pour finalité la gestion des alertes et des signalements en matière professionnelle.

L'analyse d'impact comprend impérativement Règl. UE nº 2016/679, 27 avr. 2016, art. 35 :

• une description systématique des opérations de traitement envisagées et de leurs finalités, y compris l'intérêt légitime poursuivi par l'employeur
• une évaluation de la nécessité et de la proportionnalité au regard des finalités
• une évaluation des risques pour les droits et libertés des personnes concernées
• les mesures envisagées pour faire face aux risques (garanties, mesures et mécanismes de sécurité).

Trois types de traitement mettant en jeu employeurs, institutions représentatives du personnel et salariés sont au contraire dispensés d'analyse d'impact :

• les traitements uniquement à des fins de ressources humaines, pour la seule gestion du personnel des entreprises qui emploient moins de 250 salariés (à l'exception du recours au profilage)
• les traitements destinés à la gestion des activités des comités sociaux et économiques
• les traitements aux seules fins de gestion des contrôles d'accès physiques et des horaires pour le calcul du temps de travail, en dehors de tout dispositif biométrique et à l'exclusion des traitements qui révèlent des données sensibles ou à caractère hautement personnel (Délib. Cnil nº 2019-118, 12 sept. 2019).

L'analyse d'impact doit être impérativement menée préalablement à la mise en place du système de traitement de données. Elle doit être révisée régulièrement, au minimum tous les trois ans, afin de s'assurer que le niveau de risque demeure acceptable.

Plusieurs acteurs peuvent participer à l'élaboration de l'analyse d'impact :

• le délégué à la protection des données désigné dans l'entreprise (voir question dédiée) dont le conseil doit être formalisé dans l'analyse d'impact
• le responsable de la sécurité des systèmes d'information
• les sous-traitants qui sont impliqués. Ils sont tenus à une obligation de coopération
• les personnes concernées par le traitement de données ou leurs représentants qui peuvent être consultés
• le maître d'ouvrage éventuel.

La Cnil recommande de rédiger et de publier un rapport sur l'élaboration de l'analyse d'impact afin de favoriser un climat de transparence et de confiance entre l'entreprise opérant le traitement de données et les personnes concernées (Cnil, Délib. nº 2018-326, 11 oct. 2018 ; Cnil, Délib. nº 2018-327, 11 oct. 2018).

La Cnil propose d'opérer en quatre temps :

• délimiter et décrire le contexte du traitement de données
• analyser les mesures destinées à préserver les principes fondamentaux et les droits des personnes concernées
• apprécier les risques relatifs à la vie privée que fait peser le traitement de données et vérifier qu'ils sont pris en charge
• formaliser l'analyse d'impact.