Une partie de cet article est issu du site de la CNIL : https://www.cnil.fr/fr/ce-quil-faut-savoir-sur-lanalyse-dimpact-relative-la-protection-des-donnees-aipd
Définition de l’analyse d’impact relative à la protection des données (AIPD)
L’AIPD est un outil important pour la responsabilisation des organismes : elle les aide non seulement à construire des traitements de données respectueux de la vie privée, mais aussi à démontrer leur conformité au Règlement général sur la protection des données (RGPD).
Quand est-ce qu’une AIPD est obligatoire ?
Une AIPD doit obligatoirement être menée quand le traitement est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées ».
- Soit le traitement envisagé figure dans la liste des types d’opérations de traitement pour lesquelles la CNIL a estimé obligatoire de réaliser une analyse d’impact relative à la protection des données.
- Soit le traitement remplit au moins deux des neuf critères issus des lignes directrices du G29 :
- évaluation/scoring (y compris le profilage) ;
- décision automatique avec effet légal ou similaire ;
- surveillance systématique ;
- collecte de données sensibles ou données à caractère hautement personnel ;
- collecte de données personnelles à large échelle ;
- croisement de données ;
- personnes vulnérables (patients, personnes âgées, enfants, etc.) ;
- usage innovant (utilisation d’une nouvelle technologie) ;
- exclusion du bénéfice d’un droit/contrat.
Attention ! Une AIPD doit être réalisée avant la mise en place du traitement.
Quand est-ce qu’une analyse d’impact n’est pas obligatoire ?
Une AIPD n’est pas nécessaire dans les cas suivants :
- Quand le traitement figure sur la liste des exceptions adoptée par la CNIL après consultation du CEPD (Comité européen de protection des données) ;
- Tableau CNIL sur le paddlet Ressources
- Quand le traitement ne présente pas de risque élevé pour les droits et libertés des personnes concernées ;
- Lorsque la nature, la portée, le contexte et les finalités du traitement envisagé sont très similaires à un traitement pour lequel une AIPD a déjà été menée ;
- Quand le traitement répond à une obligation légale ou est nécessaire à l’exercice d’une mission de service public (article 6 du RGPD), sous réserve que les conditions suivantes soient remplies :
- qu’il ait une base légale dans le droit de l’UE ou le droit de l’État membre ;
- que ce droit règlemente cette opération de traitement ;
- et qu’une AIPD ait déjà été menée lors de l’adoption de cette base légale.
Dans quel cas une collectivité est concernée ?
Même s’il est impossible de lister l’ensemble des cas où une analyse d’impact est obligatoire puisque cela dépend de nombreux critères (cf Quand est ce qu’une AIPD est obligatoire ?), nous avons identifié certains traitements qui relèvent selon nous de cette obligation.
1) Pour les CCAS
- Traitements de données de santé mis en œuvre par les établissements de santé ou les établissements médicosociaux pour la prise en charge des personnes.
Exemple : Traitement portant sur les dossiers des résidents pris en charge par un centre communal d’action sociale (CCAS) ou par un établissement d’hébergement pour personnes âgées dépendantes (EPHAD).
- Traitements ayant pour finalité l’accompagnement social ou médico-social des personnes.
Exemples :
Traitement mis en œuvre par un établissement ou une association dans le cadre de la prise en charge de personnes en insertion ou réinsertion sociale et professionnelle.
Traitement mis en œuvre par les maisons départementales des personnes handicapées dans le cadre de l’accueil, l’hébergement, l’accompagnement et le suivi de ces personnes.
Traitement mis en œuvre par un centre communal d’action sociale dans le cadre du suivi de personnes atteintes de pathologies chroniques invalidantes en situation de fragilité sociale.
2) Pour les mairies
- La vidéoprotection.
- Les caméras piétons utilisées par la police municipale.
- Le système de badgeuse biométrique.
- La gestion des logements sociaux.
- La gestion des ressources humaines pour les collectivités de plus de 250 agents.
- Tout traitement qui répond positivement à deux des neuf critères issus des lignes directrices du G29 (voir paragraphe « Quand est-ce qu’une AIPD est obligatoire ? »).
Que doit contenir une analyse d’impact ?
Un AIPD contient au minimum :
- Une description systématique des opérations de traitement envisagées et les finalités du traitement, y compris, le cas échéant, l’intérêt légitime poursuivi par le responsable du traitement ;
- Une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités ;
- Une évaluation des risques sur les droits et libertés des personnes concernées ;
- Les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du règlement.
Comment réaliser une AIPD ?
Plusieurs méthodes sont utilisables. Le responsable de traitement est libre de choisir sa méthode.
Néanmoins, la CNIL met à disposition un logiciel qui facilite la conduite et la formalisation d’analyses d’impact que nous vous recommandons d’utiliser : https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil
La réalisation d’une AIPD est de la responsabilité de la collectivité et se fait avec construit avec l’ensemble des parties prenantes :
- Le référent RGPD de la commune.
- Les services métiers concernés par l’AIPD.
- Le service informatique.
- Le service juridique.
- Les sous-traitants.
- Le DPO SICTIAM pour contrôle et avis.