GDPR : la Commission « vie privée » émet un projet de recommandation concernant l’analyse d’impact
Publié le 22/02/2017 par Thierry Léonard
Pour les distraits, plus que quelques jours avant la fin des réactions concernant le projet de recommandation d’initiative concernant l’analyse d’impact relative à la protection des données et la consultation préalable (AIPD) soumis à consultation publique par la Commission de protection de la vie privée belge (CPVP). Un document à lire absolument par tous ceux qui sont -ou qui seront- bientôt impliqués dans un chantier d’implémentation du GDPR. Le public a jusqu’au 28 février prochain pour réagir.
Le but de cette recommandation est de fournir des explications détaillées sur les éléments essentiels de l’AIPD (1), les circonstances dans lesquelles une AIPD est obligatoire (2), les circonstances dans lesquelles une consultation préalable de l’autorité est obligatoire (3) les acteurs qui doivent être impliqués (4) et diverses dispositions particulières qui y sont liées (5).
Eléments essentiels d’une AIPD telle que requise par l’article 35 du GDPR
La première étape d’une AIPD débute par l’inventaire des opérations de traitement envisagées et des finalités du traitement.
La CPVP renvoie ici aux diverses informations qui doivent apparaître dans le registre des activités de traitement prévu par l’article 30 du GDPR (description précise, complète et claire des opérations de traitements et finalités mais aussi catégories des personnes concernées, des données et destinataires, transferts de données vers des pays tiers, délais prévus pour l’effacement des données, moyens du traitement etc.).
Dans une seconde étape, l’AIPD doit contenir un contrôle de l’application du principe de proportionnalité. Il faudra donc indiquer, selon la CPVP, non seulement les raisons qui justifient la nécessité du traitement mais aussi une justification des moyens choisis en ce qu’ils seraient moins intrusifs que d’autres alternatives. Une analyse de l’efficacité du traitement envisagé devra également apparaître (peut-on s’attendre raisonnablement espérer que le traitement envisagé atteigne sa finalité ?) ainsi que la manière dont l’équilibre des intérêts est provisoirement assurée.
Dans une troisième étape, l’AIPD doit contenir une analyse des risques. La CPVP se réfère plus généralement ici à la notion d’appréciation du risque au sens de l’ISO Guide 73 :2009 visant tant le processus d’identification des risques, que de l’analyse des risques et leur évaluation.
Concernant l’identification des risques, la CPVP souligne la particularité du risque envisagé ici qui diffèrent d’une analyse traditionnelle puisqu’il s’agit des « risques pour les droits et libertés des personnes physiques », qui concernent non seulement la liberté de la vie privée mais aussi les autres libertés fondamentales comme la liberté d’expression, la liberté de pensée, de conscience et de religion, l’interdiction de discrimination et le droit à la liberté de mouvement. Elle renvoie ici au considérant 75 du GDPR qui énoncent certaines circonstances qui engendrent de tels risques (lorsque le traitement peut donner lieu à une discrimination, à un vol ou une usurpation d’identité, à une perte financière, à une atteinte à la réputation, porte sur des données sensibles, contient une évaluation de la personnalité en vue d’un profilage etc.).
La CPVP insiste sur le besoin d’une analyse des risques contextuelle càd prenant en compte l’ensemble des circonstances particulières du traitement. Elle rappelle aussi que le choix de la méthode est libre mais celle-ci doit obéir à des critères minimales de confidentialité et d’objectivité et doit être adaptée aux besoins et au contexte de l’entreprise concernée. Elle annexe néanmoins à la recommandation le caractéristiques minimales d’une bonne gestion des risques (l’AIPD doit être étayée méthodologiquement, structurée en étapes, faite sur mesure au regard du contexte spécifique des traitements en cause, compréhensible et suffisamment nuancée, effectuée par ceux qui sont le mieux placés pour ce faire -DPO, conseiller en sécurité, concepteurs des nouvelles applications, décideurs…- intégré dans un rapport daté et écrit faisant l’objet d’un suivi et d’un contrôle). Elle insiste sur l’utilisation de méthodologies existantes (ISO, codes de conduite).
Enfin, l’AIDP doit aussi comprendre les mesures retenues afin de faire face aux risques ainsi identifiées. Elle vise ici les garanties, mesures de sécurité et mécanismes assurant la protection des données et la preuve du respect du GDPR. Sans cela, il est impossible d’apprécier in fine le risque résiduel du traitement qui subsistent après la prise de ces mesures.
Circonstances dans lesquelles une AIPD est obligatoire
En règle l’AIPD n’est bligatoire que lorsque le traitement en cause est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques.
Il s’agit d’abord selon elle de tout traitement dont il est vraisemblable qu’ils puissent avoir des conséquences néfastes considérables pour les libertés et droits fondamentaux si l’on ne prend pas de mesures de protection adéquates. Une telle conséquence renvoie en réalité à l’impact de la réalisation du risque : si le risque se produit, la personne concernée serait sensiblement touchée dans l’exercice et la jouissance de ses droits et libertés. Elle renvoie encore ici aux conséquences visées au considérant 75 du GDPR.
Pour elle, le risque élevé en question vise le risque inhérent au traitement, opposé au risque résiduel après prises des mesures de sauvegarde.
Elle rappelle les trois situations dans lesquelles l’AIPD est obligatoire (profilage fondant des décisions de nature à produire des effets juridiques ou à les impacter de manière importante, traitement à grande échelle de données sensibles, surveillance systématique à grande échelle d’une zone accessible au public). Elle n’apporte néanmoins pas beaucoup de précisions quant à leur portée renvoyant essentiellement au considérant 91 du GDPR et sur l’interprétation de l’expression « à grande échelle » faite par le G29 dans ses guidelines sur le DPO. Elle insiste néanmoins sur la réalisation d’une AIPD commune en cas d’application ou plateforme concernant un secteur ou segment professionnel ou une activité transversale largement utilisée, renvoyant ici au considérant 92 du GDPR.
Elle rappelle que chaque autorité de contrôle est obligée de dresser une liste des types d’opérations pour lesquelles une AIPD est requise et une autre pour lesquelles elle n’est pas requise. Elle annexe donc deux projets de liste à sa future recommandation, en insistant sur le caractère non exhaustif de leur contenu, devant être considéré plus comme des points de départ de l’analyse de la nécessité d’une AIPD.
Dans l’annexe 2 visant des cas où l’AIPD est obligatoire, on retrouve les traitements utilisant la biométrie ou des données génétiques, les traitements servant à évaluer la solvabilité financière, la réutilisation de données financières ou sensibles sans consentement, les traitements qui donnent lieu à une communication ou mise à disposition du public de données relatives à un grand nombre de personnes etc. Dans l’annexe 3, on retrouve les traitements de données qui concernent uniquement la comptabilité et l’administration des salaires ou de l’administration du personnel (hors données santé et données d’évaluation) ou encore la comptabilité ou l’accès de visiteurs dans les conditions qu’elle détermine.
Circonstances dans lesquelles une consultation préalable est obligatoire
L’article 36 (1) du GDPR prévoit une consultation de l’autorité de contrôle si l’analyse d’impact indique que le traitement présenterait des risques élevés si des mesures d’atténuation du risque n’étaient pas prises.
Selon la CPVP, on ne viserait ici que le risque résiduel c’est-à-dire après prise des mesures d’atténuation et pas seulement le risque inhérent. La CPVP en déduit que si le risque peut être limité efficacement par le Responsable, aucune consultation préalable ne doit avoir lieu. Cette interprétation n’allait pas de soi même si elle va dans le sens du considérant 94 du GDPR qui énonce que « Lorsqu’il ressort d’une analyse d’impact relative à la protection des données que, en l’absence des garanties, de mesures de sécurité et de mécanismes pour atténuer le risque, le traitement engendrerait un risque élevé pour les droits et libertés des personnes physiques et que le responsable du traitement est d’avis que le risque ne peut être atténué par des moyens raisonnables compte tenu des techniques disponibles et de mise en œuvre, il y a lieu de consulter l’autorité de contrôle avant le début des opérations de traitement ».
Pour le reste, la CPVP ne fait que rappeler la procédure prévue par le GDPR ainsi que les informations qui doivent être transmises à l’autorité de contrôle.
Les acteurs concernés
C’est d’abord au responsable qu’il revient de prendre la responsabilité finale de l’AIPD et de la manière dont elle est effectuée. La CPVP insiste encore ici pour que les bonnes personnes soient impliquées (DPO, conseiller en sécurité, concepteurs, décideurs mais aussi membre de la direction) et que l’exercice ne soit pas purement théorique et écrit.
La CPVP rappelle le devoir d’assistance du sous-traitant au responsable en cas d’AIPD. Elle indique qu’elle évaluera le respect de ce devoir en fonction de la nature du traitement, des informations mises à disposition du sous-traitant et de l’opportunité de l’aide du sous-traitant afin de parvenir à une appréciation et à une gestion des risques correctes et de qualités.
Elle souligne le rôle important du DPO en cas de AIPD même s’il ne peut s’en occuper seul.
Enfin, la CPVP estime que dans certaines circonstances, le responsable sera contraint de recourir à l’avis des personnes concernées ou de leurs représentants et que la formulation de l’article 35 (9) du GDPR n’est pas purement facultative.
Dispositions finales et appréciation
La CPVP commente encore quelque peu les articles 35 (10) (exception de l’AIPD en cas de traitement en vertu d’une obligation légale ou de l’intérêt public) et 35 (8) du GDPR (prise en compte des codes de conduite lors de l’AIPD).
Elle indique finalement qu’elle s’attend , dans le cadre d’une bonne gestion des risques, que le responsable effectue un contrôle de conformité à l’AIPD tous les deux ans, sauf circonstances imposant plus tôt une révision (évolution technique, découverte d’une nouvelle vulnérabilité etc.).
La recommandation qui sera définitivement adoptée aidera sans aucun doute les responsables dans leur appréciation de la nécessité de tenir une AIPD.
Comme à la lecture des Guidelines du groupe 29, on constate une interprétation large de la protection et donc des obligations des responsables du traitement sauf pour l’hypothèse de la nécessité de la consultation préalable de l’autorité).
Reste quand même en suspens une question pratique : faut-il selon la Commission soumettre les traitements existants à l’AIPD avant le 24 mai 2018 et si, oui, comment les responsables pourront-ils consulter la Commission en vue d’obtenir une réponse dans le délai ?… Une question que nous ne sommes pas les seuls à nous poser, sans doute. Encore quelques jours pour réagir…