Dans quel cas une AIPD est-elle nécessaire ?

Août 8, 2022
5/5 - (26 votes)

Depuis l’entrée en vigueur du RGPD en 2018, l’AIPD (Analyse d’Impact à la Protection des Données) est un point souvent abordé (article 35 du RGPD). En effet, l’AIPD est une démarche qui vise les organismes concernés à mettre en place un processus de traitements de données plus respectueux de la vie privée.

Dans certains cas, on parlera de DPIA (Data Protection Impact Analysis) ou de PIA (Privacy Impact Assessment) qui sont des synonymes.

Est-il toujours obligatoire de réaliser une AIPD ?

Une AIPD n’est pas obligatoire et nécessaire dans tous les cas. En effet, on peut s’en passer par exemple si :

  • Le traitement effectué n’engendre pas de risque élevé pour les droits et libertés des personnes (traitements de données sensibles, à grande échelle) ;
  • L’AIPD a déjà été effectuée sur un traitement très similaire à celui que l’on souhaite analyser ;

L’AIPD est obligatoire dans certains cas ?

En général, un traitement doit obligatoirement faire l’objet d’une AIPD quand il est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées.

Le Groupe de travail 29 définit également quand l’AIPD est obligatoire (dans le cas où le traitement remplit deux des neufs critères ci-dessous) :

  • Évaluation / scoring (y compris le profilage) ;
  • Décision automatique avec effet légal ou similaire ;
  • Surveillance systématique ;
  • Collecte de données sensibles ou données à caractère hautement personnel ;
  • Collecte de données personnelles à large échelle ;
  • Croisement de données ;
  • Personnes vulnérables (patients, personnes âgées, enfants, etc.) ;
  • Usage innovant (utilisation d’une nouvelle technologie) ;
  • Exclusion du bénéfice d’un droit / contrat.

Comment réaliser une analyse d’impact ?

Pour réaliser une analyse d’impact, il faut au minimum :

  • Une description systématique des opérations de traitement envisagées et les finalités du traitement ;
  • Une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités ;
  • Une évaluation des risques sur les droits et libertés des personnes concernées ;
  • Les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du règlement.

Il est à noter que différentes méthodes peuvent être utilisées. Le plus simple et le plus professionnel est de passer par ONE GDPR. Nous proposons et utilisons généralement celle proposée par la CNIL.

Faut-il obligatoirement transmettre les résultats de l’AIPD à la CNIL ?

Il n’est pas obligatoire de transmettre l’AIPD à la CNIL sauf si :

  • Le niveau de risque résiduel reste encore élevé ;
  • La législation d’un État soumis au RPGD l’exige ;
  • La CNIL en fait la demande (contrôle).

Sanctions en cas de manquements aux dispositions relatives aux analyses d’impact ?

Pour conclure, l’amende peut s’élever à 10.000.000 € ou jusqu’à 2% du chiffre d’affaires annuel mondial total de l’exercice précédent.