Nous contacter.
02 52 35 24 54
Qu’est-ce qu’une AIPD ?
L’analyse d’impact relative à la protection des données (AIPD), ou PIA en anglais, est une étude qui doit être réalisée lorsqu’un traitement de données à caractère personnel est passible d’occasionner des risques pour les droits fondamentaux et libertés des personnes concernées.
Inscrite dans l’article 35, elle fait partie des nouvelles obligations imposées par le Règlement Général sur la Protection des données (RGPD). C’est un outil essentiel pour la responsabilisation des organismes. L’AIPD permet à la fois de les accompagner dans la construction d’un traitement respectueux de la vie privée, tout en les aidant à démontrer leur conformité RGPD.
Selon la CNIL, l’AIPD se divise en trois piliers :
- Les principes et droits fondamentaux qui sont “fixés par la loi et doivent être respectés, quels que soient la nature, la gravité et la vraisemblance des risques encourus”
- La gestion des risques sur la vie privée “qui permet de déterminer les mesures techniques et d’organisation appropriées pour protéger les données”
- La description détaillée du traitement mis en œuvre d’un point de vue technique et opérationnel
À savoir : L’analyse d’impact relative à la protection des données (AIPD), le Privacy Impact Assessment (PIA), ainsi que l’étude d’impact sur la vie privée (EIVP) désignent tous les trois la même chose.
Quand est-ce que l’AIPD est obligatoire ?
L’AIPD est donc obligatoire dès lors que le traitement est “susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées”. Vous devez donc vous poser les questions suivantes :
- Est-ce que mon traitement fait partie de la liste des exceptions adoptées par la CNIL ? Si la réponse est non, alors vous devez vous poser les questions suivantes.
- Est-ce que mon traitement est inscrit dans la liste des types d’opérations de traitement pour lesquelles la CNIL estime qu’il est obligatoire d’effectuer une analyse d’impact ? Si la réponse est oui, alors vous serez dans l’obligation de réaliser une étude d’impact relative à la protection des données. Si la réponse est non, vous devrez vous poser une dernière question :
- Est-ce que mon traitement remplit au moins deux des neufs critères issus des lignes directrices du G29 ? A savoir :
- l’évaluation/scoring (y compris le profilage) ;
- la décision automatique avec effet légal ou similaire ;
- la surveillance systématique ;
- la collecte de données sensibles ou données à caractère hautement personnel ;
- la collecte de données personnelles à large échelle ;
- le croisement de données ;
- les personnes vulnérables (patients, personnes âgées, enfants, etc.) ;
- l’usage innovant (utilisation d’une nouvelle technologie) ;
- l’exclusion du bénéfice d’un droit/contrat.
Si c’est le cas, alors l’AIPD RGPD sera obligatoire pour votre organisation.
Quand est-ce que l’analyse d’impact n’est PAS obligatoire ?
A l’inverse, l’analyse d’impact n’est pas obligatoire lorsque :
- le traitement figure sur la liste des exceptions adoptées par la CNIL
- le traitement ne présente pas de risque élevé pour la vie privée des personnes concernées,
- la nature, la portée le contexte et la finalité du traitement envisagé sont similaires à un traitement ayant déjà fait l’objet d’une AIPD
- le traitement répond à une obligation légale ou essentiel à l’exercice d’une mission de service public et qu’il remplit les conditions suivantes :
- que sa base légale rentre dans le droit de l’UE ou le droit de l’état membre,
- que ce droit réglemente l’opération de traitement,
- et qu’une AIPD a déjà été menée à l’adoption de cette base légale.
Quels sont les outils mis à la disposition des responsables de traitement ?
Il n’existe pas de méthode prédéfinie pour la réalisation d’une AIPD RGPD, il en existe plusieurs et celle-ci est laissée au libre choix du responsable du traitement. Seul impératif, qu’elle réponde aux critères prédéfinis dans l’annexe 2 des lignes directrices du G29.
Afin d’aider les responsables de traitement, la CNIL a mis à disposition un logiciel open source qui facilite la conduite et la mise en forme de l’AIPD : l’outil PIA.
Elle a également publié un guide sur l’analyse d’impact relative à la protection des données.
En pratique, l’AIPD consiste en un document (papier ou numérique) qui identifie et analyse les risques. Il se décompose en trois parties :
- le contexte : description des opérations de traitement envisagées, la finalité du traitement, l’intérêt légitime poursuivi ;
- la conformité juridique aux principes du RGPD ;
- l’évaluation des risques pour les droits et libertés des personnes concernées et mesures envisagées pour les atténuer.
Des questions sur l’analyse d’impact relative à la protection des données (AIPD) ? Besoin d’un accompagnement pour sa mise en œuvre ? Contactez AP3R Consulting, votre cabinet de conseil RGPD à Angers et dans tout le grand Ouest.