Obligation de procéder à une analyse d’impact lorsqu’un traitement est susceptible d’entraîner un risque élevé pour les droits et libertés des personnes concernées

Obligation de procéder à une analyse d’impact lorsqu’un traitement est susceptible d’entraîner un risque élevé pour les droits et libertés des personnes concernées

APDP | 23 janvier 2025

L’analyse d’impact relative à la protection des données (AIPD ou DPIA anglais) est une étude dont l’objectif est de déterminer et d’analyser la façon dont la confidentialité, la sécurité ou encore la disponibilité des données serait affectée par une action ou une activité donnée.

Toute opération qui pourrait engendrer des risques pour les droits et libertés des personnes physiques ne requiert pas toutefois automatiquement une analyse d’impact. La loi n’exige en effet une analyse d’impact que lorsqu’un traitement est susceptible d’entraîner un risque élevé pour les droits et libertés, notamment en cas de recours à une nouvelle technologie de traitement.

 

Dans quels cas une analyse d’impact doit-elle être menée ?

L’article 35 de la Loi prévoit qu’un risque élevé existe notamment dans 4 cas :

1er cas : l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire.

Exemple  : un établissement financier passant ses clients au crible d’une base de données de cote de crédit ou d’une base de données dédiée à la lutte contre le blanchiment de capitaux et le financement du terrorisme.

2ème cas : le traitement à grande échelle de données sensibles ou de données à caractère personnel relatives aux infractions, condamnations pénales et mesures de sûreté ou portant sur des soupçons d’activités illicites.

Exemple  : les traitements de santé réalisés par un établissement de soins.

3ème cas : la surveillance systématique à grande échelle de zone accessible au public.

4ème cas : l’utilisation à grande échelle d’un identifiant numérique.

Cette liste n’est toutefois pas exhaustive comme l’atteste l’emploi du mot « notamment ». Aussi, d’autres opérations de traitement qui ne figurent pas dans ces 4 cas peuvent néanmoins présenter un risque aussi élevé et donc nécessiter une analyse d’impact.

Un arrêté ministériel établira la liste des critères permettant de déterminer si un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques.

 

Quand et comment doit être menée l’analyse d’impact ?

L’analyse d’impact doit être menée avant la mise en œuvre du traitement.

S’il a désigné un délégué à la protection des données, le responsable de traitement doit lui demander conseil et le charger de vérifier l’exécution de l’analyse d’impact.

Par ailleurs, si un sous-traitant intervient dans le traitement, il doit fournir son aide et les informations nécessaires à la réalisation de l’analyse d’impact.

Une seule et même analyse d’impact peut porter sur un ensemble d’opérations de traitement similaires dès lors que celles-ci présentent des risques élevés similaires.

Le responsable du traitement doit en outre procéder à une réévaluation de son analyse d’impact en cas de modification du risque.

Enfin, l’analyse d’impact doit être conservée à titre probatoire par le responsable du traitement et être communiquée sur demande à l’APDP.

 

Que doit contenir l’analyse d’impact ?

En vertu de l’article 35 de la Loi toute analyse d’impact doit a minima comporter les éléments suivants :

• une description systématique des opérations de traitement envisagées et des finalités du traitement, y compris, le cas échéant, l’intérêt légitime poursuivi par le responsable du traitement ;
• une évaluation de la nécessité de la proportionnalité des opérations de traitement au regard des finalités ;
• une évaluation des risques pour les droits et libertés des personnes concernées ;
• les mesures envisagées pour faire face aux risques.

 

Dans quel cas l’APDP doit-elle être consultée au préalable ?

Si lors de la réalisation de l’analyse d’impact, le responsable de traitement se rend compte que les risques identifiés ne peuvent pas être suffisamment réduits et qu’il existe des risques résiduels élevés non maitrisés, l’article 36 de la Loi prévoit qu’il doit consulter au préalable l’APDP.

Le responsable de traitement communique ainsi à l’Autorité les informations suivantes :

• les responsabilités respectives du responsable du traitement, des responsables conjoints et des sous-traitants participant au traitement et les coordonnées du délégué à la protection des données lorsque que celui-ci a été désigné ;
• les finalités et les moyens du traitement envisagé ;
• les mesures et les garanties prévues afin de protéger les droits et libertés des personnes concernées ;
• l’analyse d’impact qu’il a réalisée ;
• toute autre information demandée par l’Autorité.

L’APDP aura alors un délai de 8 semaines pour rendre un avis écrit au responsable de traitement ; délai qui pourra être prolongé de 6 semaines en cas de traitements complexes.

Si l’Autorité considère que le traitement constitue en l’état une violation, elle imposera au responsable de traitement les mesures appropriées et pourra procéder aux vérifications et investigations prévues à l’article 46 de la Loi.

 

Quelle est la sanction en cas de manquement aux exigences prévues en matière d’analyse d’impact ?

Tout manquement aux obligations en matière d’analyse d’impact, que ce soit l’obligation d’effectuer l’analyse d’impact en vertu de l’article 35 de la Loi ou l’obligation de consulter au préalable l’APDP en vertu de l’article 36 de la Loi, est puni d’une amende administrative ne pouvant excéder 5.000.000 euros ou, dans le cas d’une entreprise, jusqu’à 2% du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.