03 62 84 51 46 ou 06 78 84 62 12

Mon entreprise doit-elle faire des analyses d’impact RGPD ?

Le traitement de données personnelles comporte parfois des risques élevés pour les droits et les libertés des personnes concernées. C’est pourquoi dans certains cas, le RGPD rend obligatoire la conduite d’une analyse d’impact relative à la protection des données (AIPD). Mais quand l’analyse d’impact est-elle obligatoire ? Les traitements de données de votre entreprise sont-ils concernés ? Suivez le guide pour le savoir !

Analyse d’impact RGPD, que doit faire mon entreprise

Qu’est-ce que c’est ?

L’analyse d’impact RGPD est une procédure de contrôle destinée à mettre en place des traitements de données qui respectent la vie privée des personnes. Elle consiste en premier lieu à certifier que votre système de traitement répond bien aux principes fondamentaux du RGPD : sécurité des données, durée de stockage, etc. En second lieu, il s’agit d’analyser les risques pour les personnes : que se passerait-il en cas d’accès aux données, en cas de perte ou si elles venaient à disparaître ? L’analyse d’impact est ainsi un outil fondamental du RGPD, mais elle est également un excellent moyen pour les entreprises de rassurer les personnes quant à l’utilisation de leurs données privées.

Quels traitements cela requière-t-il ?

Afin d’aider les responsables de traitement à y voir plus clair, la CNIL a établi une liste des traitements pour lesquels une analyse d’impact est obligatoire. Ils sont les suivants :

  • Traitements de données génétiques de personnes dites « vulnérables » (patients, employés, enfants, etc.) ;
  • Traitements de données de santé mis en œuvre par les établissements de santé ou les établissements médicosociaux pour la prise en charge des personnes ; données de santé nécessaires à la constitution d’un entrepôt de données ou d’un registre ;
  • Traitements de données établissant des profils de personnes physiques à des fins de gestion des ressources humaines ;
  • Traitements de données ayant pour finalité de surveiller de manière constante l’activité des employés concernés ;
  • Traitements de données ayant pour finalité la gestion des alertes et des signalements en matière sociale et sanitaire, ainsi qu’en matière professionnelle ;
  • Traitements de données impliquant le profilage des personnes pouvant aboutir à leur exclusion du bénéfice d’un contrat ou à la suspension voire à la rupture de celui-ci ;
  • Traitements de données de profilage faisant appel à des données provenant de sources externes ;
  • Traitements de données mutualisés de manquements contractuels constatés, susceptibles d’aboutir à une décision d’exclusion ou de suspension du bénéfice d’un contrat ;
  • Traitements de données biométriques aux fins d’identifier de manière unique des personnes physique, parmi lesquelles figurent des personnes dites « vulnérables » (élèves, personnes âgées, patients, demandeurs d’asile…) ;
  • Traitements de données ayant pour finalité l’accompagnement social ou médico-social des personnes ;
  • Traitements de données de localisation à large échelle ;
  • L’Instruction des demandes et gestion des logements sociaux.

Faire ou ne pas faire une analyse d’impact : les critères du G29

Cependant, la liste de la CNIL n’est pas exhaustive. De fait, même si votre traitement n’y figure pas, vous devez peut-être tout de même réaliser une analyse d’impact ! Pour le déterminer, le G29 a établi 9 critères :

  • L’évaluation, la notation, y compris le profilage ;
  • La prise de décision automatisée avec effet juridique ou effet similaire significatif ;
  • La surveillance systématique ;
  • Les données sensibles ou données à caractère hautement personnel ;
  • Le traitement de données à grande échelle ;
  • Le croisement ou combinaison de données ;
  • L’utilisation innovante ou application de nouvelles solutions technologiques ou organisationnelles ;
  • L’exclusion du bénéfice d’un droit / d’un contrat.

Si votre traitement répond à au moins 2 de ces critères, une analyse d’impact s’impose. C’est aussi le cas s’il ne répond qu’à un seul des critères, mais que vous considérez qu’il présente un risque élevé. Votre traitement ne remplit aucun des critères mais vous avez un doute ? Dans ce cas, l’analyse d’impact est également requise ! Enfin, sachez que si vous avez réalisé une étude d’impact pour un traitement similaire, vous n’avez pas à en réaliser une deuxième. Bon à savoir : une analyse d’impact peut être réalisée conjointement par plusieurs entreprises qui exploitent et gèrent les mêmes données. Vous savez à présent dans quels cas vous devez réaliser une analyse d’impact. En tant que responsable de traitement, c’est à vous que revient la responsabilité de sa bonne conduite. Et on ne plaisante pas : en cas de manquement, le montant des amendes pour une entreprise peut atteindre 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent. Alors pour réaliser votre étude d’impact, faites appel à l’expertise d’un DPO !

Share This