Protection des données personnelles

Création d’un logiciel libre de droit d’analyse d’impact sur la protection des données

Virginie PERDRIEUX
Virginie PERDRIEUX

 

Source :   CNIL, communiqué, 22 novembre 2017.

 

L’article 35 du Règlement général sur la protection des données impose au responsable de traitement de réaliser une analyse d’impact relative à la protection des données avant le traitement, lorsque le traitement envisagé est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, compte tenu de la nature, de la portée, du contexte et des finalités du traitement, en particulier lorsqu’il met en jeu des nouvelles technologies.

 

Le texte a entendu préciser les cas pour lesquels cette analyse d’impact est obligatoire, soit :

 

– l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire ;

 

– le traitement à grande échelle de catégories particulières de données visées à l’article 9 paragraphe 1, ou de données à caractère personnel relatives à des condamnations et à des infractions visées à l’article 10 ;

 

– la surveillance systématique à grande échelle d’une zone accessible au public.

 

Face à cette sémantique peu explicite, il est recommandé aux entreprises et autorités publiques procédant régulièrement à un traitement de données à caractère personnel de réaliser une telle analyse d’impact, ce qui permettra à la fois de prouver auprès de la CNIL, en cas d’enquête, le respect des principes du Règlement européen et de gérer les risques de l’entreprise sur les données à caractère personnel.

 

En synthèse, l’analyse d’impact suppose, pour se conformer au Règlement européen :

 

– de délimiter et de décrire les opérations de traitement envisagées et les finalités du traitement ;

 

– d’identifier les mesures existantes ou prévues pour traiter les risques sur la vie privée de manière proportionnée au regard de la finalité du traitement ;

 

– d’évaluer les risques sur la vie privée pour vérifier qu’ils sont suffisamment traités ;

 

– enfin, prendre la décision de valider les mesures et mécanismes de sécurités choisis pour respecter les principes de protection de la vie privée et traiter les risques.

 

Le logiciel PIA, mis à disposition des professionnels par la CNIL, s’inscrit dans une démarche d’accompagnement des responsables de traitement dans la mise en œuvre de l’étude d’impact.

 

Ce logiciel libre de droit offre plusieurs fonctionnalités, à commencer par une base de connaissance contextuelle reposant sur le texte du Règlement européen.

 

Surtout, le logiciel contient un outil modulaire pour s’adapter aux besoins de chaque responsable de traitement, selon son secteur d’activité. L’interface didactique permettra aux entreprises profanes en la matière de comprendre facilement l’état des risques du traitement étudié et se verra proposer des mesures techniques et organisationnelles pour y palier.

 

La création de ce logiciel facilitera donc sensiblement la mise en conformité des entreprises d’ici mai 2018. A noter cependant que les entreprises ne pourront plus se retrancher derrière le défaut d’intelligibilité du texte européen pour s’exonérer de l’obligation de réaliser une étude d’impact.

 

Le logiciel est présenté aujourd’hui par la CNIL dans une version « béta » et devrait faire l’objet d’améliorations dans les mois à venir, en fonction des retours des utilisateurs.

 

Virginie PERDRIEUX

Vivaldi-Avocats

Print Friendly, PDF & Email
TAGGED: , , ,
Partager cet article
Article précédent Relations collectives : mise en place d’un collège unique au sein d’un établissement distinct
Article suivant Note à l’élaboration des schémas régionaux des carrières