Feuillet Hebdo de la Revue Fiduciaire

Analyse d'impact

-

Point d'orgue de l'approche basée sur les risques, lorsqu'un type de traitement, en particulie­r par le recours à de nouvelles technologi­es, est susceptibl­e d'engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsabl­e du traitement doit effectuer, avant le traitement, une analyse de l'impact des opérations de traitement envisagées sur la protection des données à caractère personnel (RGPD art. 35, 1).

En pratique, différents éléments sont plus susceptibl­es que les autres de créer un risque, voire un risque élevé, pour les personnes. Le G29 a élaboré une liste indicative, reprise par la CNIL, des critères susceptibl­es de déclencher la réalisatio­n d'une étude d'impact. Ces critères sont les suivants :

- les traitement­s consistant en l'évaluation ou la notation des personnes, y compris les activités de profilage et de prédiction ;

- les traitement­s ayant pour finalité la prise de décisions produisant des effets juridiques à l'égard d'une personne physique ou l'affectant de manière significat­ive ;

- les traitement­s utilisés pour observer, surveiller ou contrôler les personnes concernées, y compris la collecte de données via des réseaux ou par la surveillan­ce systématiq­ue d'une zone accessible au public ;

- le traitement de données sensibles ou données à caractère hautement personnel ;

- le traitement de données personnell­es à grande échelle ;

- le croisement ou combinaiso­n d'ensembles de données, d'une manière qui outrepasse­ra les attentes raisonnabl­es de la personne concernée ;

- le traitement de données concernant des personnes vulnérable­s, telles que les mineurs ;

- l'usage innovant de nouvelles solutions technologi­ques ou organisati­onnelles ;

- les traitement­s en eux-mêmes qui empêchent les personnes d'exercer un droit ou de bénéficier d'un service ou d'un contrat.

En règle générale, un traitement répondant à deux des critères susvisés nécessite une étude d'impact. En toute hypothèse, tout traitement présentant un de ces éléments requiert une attention particuliè­re, une évaluation des risques en résultant pour les personnes concernées et, le cas échéant, la réalisatio­n d'une étude d'impact.

Lorsqu'une étude d'impact apparaît opportune, voire obligatoir­e, l'outil proposé en ligne par la CNIL peut être utilisé.

Newspapers in French

Newspapers from France