La réalisation d’une analyse d’impact relative à la protection des données constitue l’une des obligations nouvellement érigées par le Règlement général sur la protection des données (RGPD). Conformément à son article 35, l’analyse d’impact doit être effectuée avant le traitement envisagé, lorsque ce traitement « est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques », « compte tenu de la nature, de la portée, du contexte et des finalités du traitement ».
Le champ d’application du texte s’avère en l’état difficile à délimiter, la notion de « risque élevé pour les droits et libertés des personnes physiques » étant sujette à interprétation. En effet, cette notion décrit à la fois un événement redouté (atteinte à la confidentialité, la disponibilité ou l’intégrité des données, et ses impacts potentiels sur les droits et libertés des personnes) et toutes les menaces qui permettraient qu’il survienne. Le risque doit être apprécié au regard de sa gravité et de sa vraisemblance.
Afin de palier à cette incertitude juridique, le RGPD a prévu que les autorités de protection des données, à commencer par la CNIL en France, devraient établir une liste des traitements pour lesquels une analyse d’impact sera requise.
La liste définitive a été adoptée par la CNIL le 11 octobre 2018, après validation par le Comité européen de la protection des données, afin que ce dernier s’assure de la bonne cohérence et de l’application homogène du RGPD dans l’Union européenne.
Aux termes de cette liste, quatorze types d’opérations de traitement ont été retenues comme exigeant la réalisation préalable d’une analyse d’impact, soit :
Traitements de données de santé mis en œuvre par les établissements de santé ou les établissements médicosociaux pour la prise en charge des personnes ;
Traitements portant sur des données génétiques de personnes dites « vulnérables » (patients, employés, enfants, etc.) ;
Traitements établissant des profils de personnes physiques à des fins de gestion des ressources humaines
Traitements ayant pour finalité de surveiller de manière constante l’activité des employés concernés ;
Traitements ayant pour finalité la gestion des alertes et des signalements en matière sociale et sanitaire ;
Traitements ayant pour finalité la gestion des alertes et des signalements en matière professionnelle ;
Traitements des données de santé nécessaires à la constitution d’un entrepôt de données ou d’un registre ;
Traitements impliquant le profilage des personnes pouvant aboutir à leur exclusion du bénéfice d’un contrat ou à la suspension voire à la rupture de celui-ci ;
Traitements mutualisés de manquements contractuels constatés, susceptibles d’aboutir à une décision d’exclusion ou de suspension du bénéfice d’un contrat ;
Traitements de profilage faisant appel à des données provenant de sources externes ;
Traitements de données biométriques aux fins de reconnaissance des personnes parmi lesquelles figurent des personnes dites « vulnérables » (élèves, personnes âgées, patients, demandeurs d’asile, etc.) ;
Instruction des demandes et gestion des logements sociaux ;
Traitements ayant pour finalité l’accompagnement social ou médico-social des personnes ;
Traitements de données de localisation à large échelle.
Cette liste a pour vocation de faciliter le travail de mise en conformité initié par les entreprises. Cependant, la CNIL précise qu’il s’agit d’une liste non exhaustive, de sorte que des traitements qui ne seraient pas visés pourraient néanmoins faire l’objet d’une analyse d’impact s’il s’avère qu’ils présentent par ailleurs un risque élevé pour les droits et libertés des personnes physiques.
Une liste des traitements pour lesquels aucune analyse d’impact n’est requise sera bientôt également adoptée par la CNIL.
Virginie PERDRIEUX
Vivaldi-Avocats
