Quelles informations réunir pour réaliser une AIPD ?

Une Analyse d'Impact relative à la Protection des Données (AIPD) est essentielle pour identifier et minimiser les risques liés à la protection des données avant la mise en oeuvre d'un traitement. Elle évalue les risques potentiels pour les droits et libertés des personnes concernées, aide à mettre en place des mesures de sécurité pour les atténuer, assure la transparence des activités de traitement, et garantit la conformité avec le RGPD et les législations pertinentes.

💡 Voir aussi : AIPD : A quoi sert-elle ? Quand faut-il en réaliser ?

Pour être efficace, une AIPD doit présenter la "photographie" d'un ou plusieurs traitement(s) de données à un instant T. Il s'agît en effet d'un outil d'analyse permettant de déterminer si un traitement de données particulièrement sensible est prêt à être mis en oeuvre sans exposer pour autant les personnes concernées à des risques qui pourraient être évités. Dans le cas contraire, l'AIPD va aider à mettre en évidence les points possibles d'améliorations.

Pour ces raisons, il est important de ne pas "embellir" la réalité du traitement pour obtenir un meilleur résultat d'AIPD ! Cela serait contre-productif.

     → Maintenant : quelles sont les informations que vous allez devoir réunir pour mener à bien votre analyse d'impact ?

 

Avant de procéder à l'évaluation de la possible mise en oeuvre du ou des traitements, 3 catégories de données devront être réunies :

 

Première étape : les éléments de contexte

Cette étape sert à obtenir une vision globale mais claire du ou des traitement(s) de données personnelles analysé(s). Les informations nécessaires ici sont très similaires à celles que l'on peut retrouver dans une fiche de traitement :

Présentation générale de l'activité de traitement :

  • 🏷️ Une présentation du traitement (nom, finalités et enjeux autours du traitement, contexte, ...).
  • 👥 Un résumé des responsabilités gravitant autour du traitement (responsable de traitement, co-responsable, sous traitants, et toute autre partie potentiellement impliquée).
  • 📜 Une liste des référentiels applicables pertinents (codes de conduite, guides de la CNIL, certifications, ...).

Présentation plus centrée sur les données personnelles :

  • 🪪 Une liste des différents types de données.
  • ⌛ Les durées de conservation appliquées.
  • 👤 Une liste des personnes pouvant y accéder en interne.
  • 📨 Une liste des destinataires externes potentiels.
  • 🔁 Une description du "cycle de vie" des données (il s'agît là de décrire les différentes manipulations que subissent les données, de leur collecte à leur archivage ou destruction).
  • 🗃️ Une description de la méthode de conservation des données (quels sont les supports de ce stockage ? Papier, ordinateur, serveurs, personnes, ... ?).

 

Deuxième étape : les principes fondamentaux

Cette partie sert à mesurer le degré de conformité du traitement aux différents principes fondamentaux de la protection des données personnelles. En fonction du résultat, cette étape peut servir à prévoir des améliorations.

Principes de proportionnalité et de nécessité :

Cela revient à répondre à la question : traite-t-on exclusivement ce dont on a besoin pour atteindre nos objectifs ?

  • 🎯 Etre en mesure d'expliquer en quoi l'objectif poursuivi par le traitement (les finalités) est déterminé, explicite et légitime.
  • ⚖️ Sur quelle(s) base(s) légale(s) le traitement est-il fondé ?
    • Rappel : les bases légales existantes sont les suivantes : consentement, exécution d'un contrat, obligation légale, intérêts légitimes, mission d'intérêt public, ou sauvegarde des intérêts vitaux.
  • 🤏 Le principe de minimisation est-il respecté ? En d'autres termes, les données collectées sont-elles adéquates, pertinentes et limitées à ce qui est strictement nécessaire pour accomplir l'objectif du traitement ?
  • ♻️ Les données sont-elles exactes et mises à jour ?
  • ⏱️ Les durées de conservation mises en place sont-elles justifiées ?

Protection des personnes concernées :

Cela revient à répondre à la question : comment les droits des personnes concernées sont-ils garantis pour ces traitements ?

  • 📰 Comment les personnes concernées sont-elles informées de l'existence et des conditions du traitement de leurs données ?
  • 💬 Si le consentement des personnes est nécessaire pour le traitement de leurs données, comment celui-ci est-il collecté ?
  • 📣 Comment les personnes concernées peuvent-elles exercer leurs droits informatique et libertés ?
    • Rappel : les droits informatique et libertés sont les suivants : droit d'accès, droit à la portabilité, droit de rectification, droit à l'effacement, droit de limitation, droit d'opposition, droit à l'intervention humaine.
  • 📑 Les relations avec les éventuels sous-traitants sont-elles bien encadrées contractuellement ?
  • 📮 Les éventuels transferts de données en dehors de l'Union européenne s'effectuent-ils dans des conditions aussi protectrices que si le traitement était intégralement assuré dans l'Union européenne ? Comment cette protection est-elle assurée ?

 

Troisième étape : identification des risques

Il s'agît de la partie nécessitant le regard le plus critique possible vis-à-vis du ou des traitements. Cela va consister en la confrontation des risques pesant sur le traitement de données aux mesures de sécurité mises en place pour contrer soit la gravité, soit la propabilité de survenance de ces risques.

Les mesures de sécurité préexistantes :

  • 🔒 Commencer tout d'abord par lister les mesures de sécurité existantes mises en place autour du traitement. Ces mesures peuvent être tant techniques (chiffrement des données, sauvegardes des serveurs, verrouillage automatique des sessions, ...) qu'organisationnelles (sensibilisation du personnel, adoption d'une charte informatique, respect du principe du besoin d'en connaître, ...).

L'évaluation des risques :

Vient ensuite l'évaluation des "risques". Ces risques, ce sont la probabilité qu'un évènement survienne et que cet évènement ait des conséquences potentiellement néfastes pour les personnes concernées.

En matière de protection des données à caractère personnel, on classe ces risques en 3 catégories :

  • Les risques pouvant conduire à un accès illégitime à des données personnelles (des personnes non-autorisées sont susceptibles de prendre connaissance des données personnelles)
  • Les risques pouvant conduire à une altération non souhaitée des données personnelles (lorsque des personnes ou des facteurs techniques imprévus viennent modifier la donnée personnelle, la faussant potentiellement)
  • Les risques pouvant conduire à une impossibilité d'accéder à la donnée personnelle (lorsque les données sont susceptibles de disparaître, ou d'être bloquées, rendant leur sollicitation impossible)

L'AIPD va donc impliquer que les personnes en charge de l'analyse se projettent sur les scénarios "catastrophe" qui pourraient se produire autour des données. Cela implique d'identifier, pour chaque catégorie de risque :

  • 🦹 Les principales menaces (il s'agit ici de nommer et décrire le "scénario catastrophe" qui pourrait se produire)
  • 🌪️ Les sources de risques potentielles (il peut s'agir de sources humaines, ou non humaines (technologiques, matérielles, météorologiques, ...) externes ou internes à l'organisme responsable du traitement).
  • 💔 Les impacts potentiels pour les personnes concernées (cela implique d'apprécier toute retombée négative, physique, morale ou matérielle, qu'une menace pourrait avoir sur les personnes concernées

L'étape suivante sera ensuite de déterminer, parmis les mesures de sécurité précédemment listées, quelle mesure permet d'atténuer les probabilités de survenance et/ou la gravité de chaque risque dégagé.

→ Concrètement, cela revient à associer à chaque mesure les risques qu'elle permet de maîtriser.

 

Dernière étape : l'appréciation de la viabilité des traitements

La dernière étape de l'AIPD sera enfin d'apprécier si les mesures mises en oeuvre suffisent à réduire la gravité (lourdeur des conséquences pour les personnes concernées) et la vraisemblance (probabilités de survenance) des risques identifiés.

Si les risques résiduels sont négligeables (peu probables et/ou peu graves), alors le traitement peut en principe avoir lieu tel quel (même si, rappelons le, la sécurité est une quête éternelle !).

En revanche, si ces risques résiduels sont conséquents, les mesures de sécurité doivent être révisées et adaptées aux différents risques identifiés pendant l'AIPD.

 

Pour être efficace, une AIPD doit être menée en amont de la mise en oeuvre d'un traitement identifié comme présentant potentiellement des risques pour les personnes concernées.

La CNIL propose certaines ressources pour aider à la réalisation de vos AIPD : https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil

Vous pourrez aussi retrouver un outil tout-en-un vous facilitant la réalisation de vos AIPD, directement relié à votre registre de traitements, au sein de l'application ProDPO 😉 !

 

_________________________________________________________

Article rédigé par Ninon MAIRE le 31/05/2024

 

ProDPO

Le logiciel RGPD du DPO

Les DPO internes, vous disposez de documentations et d’outils intuitifs, permettant la collaboration avec vos équipes.

Les DPO mutualisés et externes (consultants freelance, cabinets d'avocats ou de conseil, institutions publiques), en plus de disposer des mémes fonctionnalités que les DPO internes pour tous vos clients, vous gérez ensemble sur une seule plateforme.

En savoir plus

Pour partager cet article sur les réseaux sociaux

Je souhaites réserver un appel !