Présent à l’article 35 du Règlement Général sur la Protection des Données (RGPD), cet outil, qui se transforme en véritable obligation légale dans certaines circonstances, a tout simplement pour objet d’identifier et de limiter les risques sur la vie privée concernant un traitement de données déterminé.
À cet égard, le responsable de traitement se trouve être l’acteur le plus à même de mener une telle étude. Il doit ainsi pouvoir mobiliser les personnes adéquates à la réalisation de l’analyse d’impact et de répartir les rôles de chacune d’elles. Il pourra naturellement solliciter les conseils de son Délégué à la protection des données (DPO) mais celui-ci n’aura qu’un rôle consultatif et non décisionnel. Les potentiels sous-traitants devront quant à eux, assister le responsable de traitement, lorsqu’ils demeurent concernés par le traitement ciblé.
La Commission Nationale de l’Informatique et des Libertés (CNIL) pourra également être consultée. Mais ce de manière obligatoire que lorsque les risques identifiés semblent élevés et qu’aucune mesure ne permette de les atténuer.
AIPD, Analyse d’impact, AIVP ?
Pour que l’outil soit véritablement efficace et corresponde au mieux à la lettre du Règlement, il est nécessaire que cette analyse soit lancé en amont de la réalisation du traitement, à l’instar des mécanismes de privacy by design. À défaut, l’utilité même de l’AIPD s’en trouve limitée puisque le traitement réalisé a déjà exposé les personnes concernées au risque redouté.
Il est en outre possible que toutes les opérations de traitement ne soient pas identifiables dès la conception, et ça n’en est pas pour autant un obstacle à sa réalisation. Ainsi, l’AIPD devra être mise à jour tout au long de l’évolution du traitement et l’accompagner périodiquement dans les différentes étapes de son développement.
L’appréciation des risques doit être, quant à elle, la plus large possible. En effet, pour qu’une analyse d’impact soit la plus pertinente possible, il est important de ne pas négliger de potentiels risques d’atteintes aux droits et libertés des personnes concernées. Pour vous aider à les identifier, ceux-ci correspondent à des événements pouvant porter atteinte tant à la confidentialité de la donnée qu’à son intégrité ou à sa disponibilité.
Ce n’est que par la suite que l’on peut envisager de relever les mesures à mettre en œuvre, afin de pouvoir réduire à la fois la vraisemblance du risque que son impact sur les personnes concernées. Ces mesures peuvent revêtir différentes formes.
Celles-ci peuvent être de nature organisationnelle, telle que la sensibilisation des personnes amenées à réaliser les opérations de traitement, mais également technique comme la sécurisation des canaux transportant les données, ou encore contractuelles en encadrant les relations avec les sous-traitants.
À l’issue de l’analyse complète du traitement envisagé, un plan d’action doit être dégagé par les différents acteurs et être validé par le Responsable de traitement. Seul ce dernier détient le pouvoir de décider si ces mesures doivent être mises en œuvre. Cependant, en cas de réponse négative, ces décisions devront être obligatoirement justifiées.
L’analyse d’impact, en plus de garantir aux personnes concernées une attention particulière à l’égard de leurs droits et libertés, permet d’apporter une documentation détaillée démontrant la conformité du traitement aux règles imposées. Ce document pourra ainsi être fourni à l’autorité de contrôle en cas de besoin.
Enfin, il est tout à fait possible que cette AIPD puisse être réalisée par une personne ou un organisme extérieur à la structure, qui pourra apporter un point de vue différent des collaborateurs internes et proposer une expertise spécifique en la matière.