L’article 35 du règlement général sur la protection des données (RGPD) met à la charge des responsables de traitements l’obligation de mener, dans certains cas, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel (AIPD).

Le non-respect des exigences applicables en matière d’AIPD peut donner lieu à des sanctions importantes – s’agissant des entreprises, jusqu’à 2% du chiffre d’affaires annuel mondial total de l’exercice précédent ou 10 millions d’euros si ce montant est plus élevé.

Au regard des sanctions et afin de proposer une grille de lecture commune, les autorités de protection des données européennes (G29) ont adopté des « lignes directrices sur les DPIA et les traitements susceptibles d’engendrer des risques élevés », dont la version définitive a été adoptée le 4 octobre 2017. Il s’agit essentiellement de promouvoir la mise en place de listes communes des opérations de traitement pour lesquelles une AIPD est obligatoire, et des critères communs concernant la méthodologie à suivre pour la réalisation d’une AIPD ou pour la détermination des cas dans lesquels l’autorité de contrôle devra être consultée.

S’agissant du champ d’application du dispositif, le RGPD circonscrit l’AIPD aux opérations susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques. Le G29 apporte plusieurs précisions à cet égard. Il est tout d’abord rappelé que l’AIPD peut concerner tant une opération de traitement de données unique qu’un ensemble d’opérations de traitement équivalents qui présentent des risques élevés similaires.

Plus substantiellement, le G29 met en exergue neuf critères d’identification des opérations qui nécessiteraient une AIPD. Sans prétendre à l’exhaustivité, on signalera l’évaluation ou la notation du rendement au travail d’une personne physique, de sa situation économique, de sa santé, entre autres. Il en va de même de la surveillance ou du contrôle systématique, du traitement de données sensibles ou à caractère hautement personnel, ou de l’opération qui permettrait de traiter des données à grande échelle. L’utilisation innovante ou l’application de nouvelles solutions technologiques ou organisationnelles peut encore déclencher l’établissement d’une AIPD, puisque de nature à impliquer de nouvelles formes de collecte et d’utilisation des données potentiellement attentatoires aux droits et libertés des personnes.

Le principe est alors simple : plus le traitement remplit de critères, plus il est susceptible de présenter un risque élevé pour les droits et libertés des personnes concernées et par conséquent de nécessiter une AIPD. Pour autant, le fait pour le traitement de ne satisfaire qu’à un seul desdits critères ne s’oppose pas à ce qu’une AIPD doive être produite. A l’inverse, une opération de traitement peut correspondre à l’un des cas visés et être néanmoins considérée comme insusceptible d’engendrer un risque suffisamment élevé. Il reviendra alors au responsable du traitement d’expliquer et de documenter les motifs de sa décision de ne pas procéder à une AIPD, en incluant ou en rapportant l’opinion à cet égard du délégué à la protection des données.

Autre point d’importance : les lignes directrices apportent quelques précisions quant à la méthodologie de l’AIPD. Si le RGPD laisse une certaine souplesse au responsable du traitement quant à la structure et à la forme de l’AIDP, doivent néanmoins y figurer certains éléments, comme « une description des opérations […] envisagées et des finalités du traitement, une évaluation de la nécessité et de la proportionnalité des opérations […] au regard de leurs finalités, ainsi qu’une évaluation des risques pour les droits et libertés et les mesures envisagées pour faire face aux risques ».

A cette fin, le G29 propose différentes méthodologies, développées par les autorités de protection des données de l’UE (annexe 1), ainsi que certains critères d’acceptabilité afin de déterminer si une AIPD ou une méthodologie considérée est suffisamment complète au regard des exigences du RGPD (annexe 2). Un outil appréciable alors que les responsables ont jusqu’au 25 mai 2018 pour se mettre en conformité.

Anne-Laure Villedieu, avocat associée, droit de la propriété industrielle, droit de l’informatique, des communications électroniques et protection des données personnelles.

Alexandre Ghanty, juriste au sein du département de doctrine juridique