GDPR : le Groupe 29 (G29) dévoile ses lignes directrices concernant « l’analyse d’impact »
Publié le 19/04/2017 par Olivia Guerguinov, Thierry Léonard
Après la Commission de la protection de la vie privée belge (CPVP), c’est maintenant au tour du G29 de publier ses Guidelines sur l’analyse d’impact préalable relative à la protection des données (AIPD) issue du GDPR. Ces guidelines éclairent notamment – et à l’instar de la CPVP – sur les opérations de traitement susceptibles de faire l’objet d’une AIPD (dans quel cas est-ce obligatoire, quid des traitements existants ?), sur la manière à laquelle une AIPD doit être réalisée ainsi que sur les cas où l’autorité de contrôle doit être consultée. Entre autre précision importante, le G29 se prononce sur l’inapplication de principe aux traitements existants lors de l’entrée en vigueur du GDPR. Ces Guidelines sont soumises à consultation publique durant six semaines.
Une AIPD peut concerner une seule opération ou un ensemble d’opérations similaires
Une seule AIPD pourra être utilisée pour évaluer non pas seulement une mais plusieurs opérations de traitement à condition qu’il s’agisse de traitements similaires en termes de risques compte tenu de la spécificité, de la portée, du contexte et des objectifs du traitement. L’utilisation de technologies similaires pour une entreprise par exemple, visant à collecter des catégories de données identiques pour les mêmes finalités ne nécessitera à priori qu’une seule AIPD. Ainsi, une compagnie de chemins de fer pourra en ce qui concerne le système de vidéosurveillance mis en place dans ses différentes gares, effectuer une seule AIPD.
Les opérations de traitement susceptibles de faire l’objet d’une AIPD
Une AIPD sera en principe obligatoire pour tout traitement susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques (art. 35, §1 GDPR). Conscient des difficultés d’interprétation liées à la notion de « risques élevés », le G29 recommande en cas de doute, de réaliser d’office une AIPD.
Les Guidelines rappellent à ce sujet que la liste de l’article 35, §3 GDPR (reprenant les trois situations pour lesquelles une AIPD est obligatoire) n’est pas exhaustive.
Pour savoir donc si une AIPD est requise, il faut avoir égard à la notion de « susceptible d’engendrer un risque élevé ». Le G29 a pris le pli de procéder à l’aide de critères, posés a priori.
Ainsi, pour permettre d’apprécier si oui ou non une AIPD est requise en raison du risque élevé inhérent aux opérations de traitement (et non en raison du risque résiduel – à l’instar de la CPVP – après prises des mesures de sauvegarde), il y a lieu d’avoir égard aux dix critères développés dans les Guidelines. Parmi eux : (1) la réalisation d’évaluation ou de notation (profilage, méthodes prédictives, etc.); (2) la prise de décisions automatisées produisant des effets juridiques ou affectant une personne de manière significative de façon similaire (traitements excluant ou discriminant les personnes) ; (3) le suivi systématique visant à surveiller, contrôler les personnes concernées ; (4) le traitement de données sensibles (comme les données de l’article 9 GDPR mais également les données de communications électroniques, données de localisation, données financières, etc.) ; (5) le traitement des données à grande échelle (pour le savoir, le G29 a identifié quatre facteurs-clés: le nombre de personnes concernées, le volume de données, la durée et l’étendue géographique) ; (7) les données concernant des personnes vulnérables (employés, enfants, malades mentaux, etc.) ; etc.
Plus le traitement satisfait aux critères, plus celui-ci est susceptible d’engendrer un risque élevé pour les personnes concernées et donc nécessitera une AIPD. De manière générale (des exceptions sont possibles), une opération de traitement qui réunira moins de deux critères ne nécessitera pas d’effectuer une AIPD ; à l’inverse, si le traitement répond à plus de deux critères, une AIPD sera requise (quelques exemples illustrant cette règle sont repris dans les Guidelines).
Les opérations de traitement qui ne sont pas susceptibles de faire l’objet d’une AIPD
Une AIPD n’est en revanche pas requise dans les hypothèses suivantes :
(1) lorsque le traitement n’est pas susceptible d’engendrer un risque élevé (art. 35, §1 GDPR);
(2) lorsque la nature, la portée, le contexte et les finalités du traitement sont très semblables au traitement pour lequel une AIPD a déjà été effectuée : dans pareil cas, les résultats de l’AIPD réalisée antérieurement pourront être réutilisés ;
(3) lorsque le traitement a une base juridique dans le droit de l’Union ou dans le droit d’un État membre, que ce droit règlemente l’opération de traitement spécifique ou l’ensemble des opérations de traitement en question et qu’une analyse d’impact conforme au GDPR a déjà été effectuée dans le cadre d’une analyse d’impact générale réalisée dans le cadre de l’adoption de la base juridique en question (art. 35, §10 GDPR) et
(4) lorsqu’il s’agit d’un traitement figurant sur la liste de l’autorité de contrôle des traitements pour lesquels aucune AIPD n’est requise (art. 35, §5).
Quid des opérations de traitement existantes (antérieures au 28 mai 2018) ?
On attendait que le G29 se prononce clairement sur l’obligation de réaliser une AIPD sur les traitements existants. On peut se réjouir : il a donné une interprétation qui peut être qualifiée de raisonnable et équilibrée.
En principe, selon le G29, l’obligation de réaliser une AIPD ne s’applique qu’aux opérations de traitement initiées après l’entrée en vigueur du GPDR (càd. après le 25 mai 2018) et non aux opérations en cours actuellement. Cette interprétation doit être admise. Elle protège les responsables de traitements qui avaient pu poursuivre les traitements en cause en toute légalité sous l’ancien régime sans devoir, le cas échéant, obtenir le feu vert de leur autorité nationale.
Toutefois, une AIPD est vivement recommandée par le G29 pour les traitements antérieurs à l’entrée en vigueur du GDPR. En outre, le G29 semble préconiser d’appliquer l’obligation de réalisation d’une AIPD pour les traitements existants si l’AIPD devient nécessaire suite à une modification du contexte du traitement comme une décision ultérieure de transférer les données hors UE. On comprend le souci mais selon nous, une telle obligation est difficilement défendable si le traitement a été mis en œuvre avant l’entrée en vigueur du GDPR (contrairement au cas où un traitement initié ensuite ne devrait pas donner lieu à une AIPD en application des règles de l’article 35 au moment de son lancement mais qui pourrait y être soumis par la suite du fait d’un nouveau contexte de traitement apparu par la suite).
Une réévaluation des traitements pour lesquels une AIPD a été réalisée devra néanmoins être planifiée tous les trois ans (ou plus tôt, en fonction de la nature du traitement, etc.). En guise de bonne pratique toutefois, le G29 recommande la réalisation d’AIPD continues sur les activités de traitements existantes.
Comment mettre en œuvre une AIPD ?
Le G29 rappelle la règle de principe : l’AIPD doit être mise en œuvre avant le lancement du traitement lui-même. Il rappelle la connexion entre cette obligation et les principes de « privacy by design » et « by default » tout en insistant à nouveau sur le besoin de mettre à jour les résultats de l’analyse, tant durant la phase de projet que durant le cycle de vie du traitement.
A priori, seul le responsable du traitement est le destinataire de l’obligation qui s’effectue, qu’elle soit confiée à un tiers ou non, sous sa responsabilité, même si elle est contrôlée par un DPO.
Quelques précisons sont apportées concernant l’obligation de prendre l’avis des personnes concernées par les données ou leurs représentants concernant le traitement. Le G29 se prononce pour une variété d’outils à utiliser (études, sondages ou enquêtes etc.). Le responsable doit documenter toute décision qui irait à l’encontre de l’avis reçu. Il doit aussi, et c’est important, documenter a priori sa décision de ne pas recueillir l’avis des personnes concernées.
Le G29 en appelle également au titre de bonne pratique à une définition précise et documentée des rôles et responsabilités des différents intervenants (le département interne en charge, les experts indépendants qui interviendraient, les sous-traitants, le DPO ou le responsable de la sécurité).
Il s’essaye aussi à proposer les principes d’une méthodologie mais de manière encore assez superficielle, renvoyant néanmoins en annexe à des processus existants. Le G29 souligne aussi à raison, la différence d’approche entre l’analyse du risque de sécurité focalisé sur l’organisation et celui imposé par l’AIPD qui concerne beaucoup plus largement l’atteinte aux droits et libertés individuelles, ce qui impose selon nous un travail interdisciplinaire entre juristes, opérationnels et techniciens. Dans une seconde annexe, le G29 liste les critères qui devraient être pris en considération dans une AIPD « acceptable » autour des étapes de description des traitements, du contrôle de la nécessité et de la proportionnalité, de l’analyse des risques proprement dits et de la prise en compte des parties intéressés. L’utilité de ce document est assez relative même si il présente au-moins l’avantage d’un pense-bête des différents éléments à prendre en considération.
Le G29 se prononce enfin pour une certaine publicité à donner au AIPD par le responsable tout en admettant qu’il ne s’agit pas d’une obligation découlant du GDPR.
Quand l’autorité de contrôle doit-elle être consultée ?
Si l’AIPD révèle un haut risque résiduel, l’autorité de contrôle doit être consulté préalablement. Autrement dit, l’autorité ne doit être consultée que si les mesures prises en considération pour atténuer les risques identifiés ne sont pas suffisantes pour considérer qu’ils soient suffisamment sous contrôle.
Le G29 donne cependant peu de précisions. Les risques résiduels seraient inacceptables si la personne concernée peut subir des conséquences significatives, voire irréversibles, qu’elle ne pourrait surmonter et quand il est évident que le risque se réalisera… Oui mais encore ?… Un exemple pratique serait le bienvenu.
Appréciation
Comme le souligne le G29 en conclusion de ses Guidelines, l’AIPD doit être vue essentiellement comme un outil de mise en conformité du traitement au GDPR. A ce titre, le G29 en appelle à une mise en œuvre étendue, dès que le traitement présente un risque particulier et significatif pour les personnes concernées.
Même si les contours méthodologiques restent flous, on comprend que le principe est proche d’une recherche de rééquilibration des intérêts en vue d’atténuer au maximum les risques d’atteinte aux droits et liberté individuelles que le traitement en projet révèle. Les solutions admises seront largement casuistiques, d’où l’importance de la prise de position des autorités de contrôles quant aux hypothèses d’application de l’obligation et de consultation obligatoire préalable. On doit dès lors accorder à leurs Guidelines une attention toute particulière et en tenir compte autant que faire se peut dans l’exercice d’implémentation au GDPR.