Feuillet Hebdo de la Revue Fiduciaire
Analyse d'impact
Point d'orgue de l'approche basée sur les risques, lorsqu'un type de traitement, en particulier par le recours à de nouvelles technologies, est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement doit effectuer, avant le traitement, une analyse de l'impact des opérations de traitement envisagées sur la protection des données à caractère personnel (RGPD art. 35, 1).
En pratique, différents éléments sont plus susceptibles que les autres de créer un risque, voire un risque élevé, pour les personnes. Le G29 a élaboré une liste indicative, reprise par la CNIL, des critères susceptibles de déclencher la réalisation d'une étude d'impact. Ces critères sont les suivants :
- les traitements consistant en l'évaluation ou la notation des personnes, y compris les activités de profilage et de prédiction ;
- les traitements ayant pour finalité la prise de décisions produisant des effets juridiques à l'égard d'une personne physique ou l'affectant de manière significative ;
- les traitements utilisés pour observer, surveiller ou contrôler les personnes concernées, y compris la collecte de données via des réseaux ou par la surveillance systématique d'une zone accessible au public ;
- le traitement de données sensibles ou données à caractère hautement personnel ;
- le traitement de données personnelles à grande échelle ;
- le croisement ou combinaison d'ensembles de données, d'une manière qui outrepassera les attentes raisonnables de la personne concernée ;
- le traitement de données concernant des personnes vulnérables, telles que les mineurs ;
- l'usage innovant de nouvelles solutions technologiques ou organisationnelles ;
- les traitements en eux-mêmes qui empêchent les personnes d'exercer un droit ou de bénéficier d'un service ou d'un contrat.
En règle générale, un traitement répondant à deux des critères susvisés nécessite une étude d'impact. En toute hypothèse, tout traitement présentant un de ces éléments requiert une attention particulière, une évaluation des risques en résultant pour les personnes concernées et, le cas échéant, la réalisation d'une étude d'impact.
Lorsqu'une étude d'impact apparaît opportune, voire obligatoire, l'outil proposé en ligne par la CNIL peut être utilisé.