L’objectif d’une Analyse d’impacts (AIPD) est de construire des traitements de données qui soient respectueux de la vie privée. L’analyse d’impacts permets de démontrer la conformité du responsable de traitement au regard du RGPD. Par conséquent, dans quels cas devons-nous réaliser une analyse d’impacts ou une analyse des risques ? C’est notre thématique du jour.
Dans le cadre de la réalisation des analyses d’impacts, voici les étapes à suivre :
- Vérifier votre registre des traitements afin d’identifier les traitements « à risques ». Pour cela, vous pouvez vous baser sur :
- La liste publiée par la CNIL permettant de déterminer qu’une AIPD est obligatoire;
- La liste publiée par la CNIL permettant de déterminer qu’une AIPD n’est pas obligatoire;
- Les critères du G29 permettant d’établir qu’au bout de deux (2) critères sur neuf (9), une AIPD doit être menée.
- Si votre traitement fait partie de la liste où une AIPD obligatoire, il conviendra d’en mener une en utilisant par exemple le logiciel de la CNIL « PIA » qui vous permettra d’aborder tous les aspects du RGPD. Cette AIPD peut être réalisée par le DPO, une agence externe ou encore des avocats. Vous devrez par la suite mettre en place toutes les recommandations permettant de réduire les risques potentiels.
- Si votre traitement fait partie de la liste où une AIPD n’est pas obligatoire, il conviendra de réaliser à minima une analyse des risques permettant d’encadrer les potentiels impacts sur les personnes concernées. L’analyse des risques permettra d’encadrer le traitement de données en fixant un plan d’actions au service concerné (mise à jour de documents, sécurité informatique, sécurité physique des données, etc…)
- Si votre traitement réunit deux (2) critères sur neuf (9) du G29, une AIPD devra être menée. Sachez qu’un (1) critère peut être suffisant pour réaliser une analyse d’impacts. En effet, si le risque est trop élevé mais que vous avez un seul critère, vous devez réaliser une AIPD.
Une seule est même analyse d’impacts peut porter sur un ensemble d’opération de traitement uniquement si les finalités et les risques sont les mêmes.
Quelques exceptions sont également prévues par le RGPD :
- Lorsque le traitement ne présente pas de risque élevé pour les personnes concernées ;
- Lorsqu’une AIPD a déjà été menée sur un traitement similaire (même nature, même portée, même contexte et même finalités).
Soyez vigilant car le 25 mai 2021 marque la fin de la dispense d’obligation de réaliser une analyse d’impacts pour les traitements de données antérieurs au 25 mai 2018. Par conséquent, vous devez avoir encadré l’ensemble de vos traitements présentant des risques. A ce titre, assurez-vous que vos traitements de données ne figurent pas dans la liste des cas obligatoires et retiennent deux (2) critères sur 9 du G29.
Des questions sur quand réaliser une analyse des risques au regard du RGPD ? Contactez nous !
