L’étude d’impact sur la protection des données personnelles : un enjeu de conformité pour les organisations

Organisation, gestion et développement
Outils
TAILLE DU TEXTE

Une tribune de Betty Sfez, avocate associée, Solegal AARPI, et Lamine Ba, directeur audit et conseil SI, Exponens.

Le règlement général sur la protection des données personnelles (dit RGPD) vient de fêter ces cinq ans. Au cours de ces années, un grand nombre d’entreprises et d’entités du secteur public ont mis en place diverses mesures de conformité, avec plus ou moins de difficulté et d’enthousiasme...

Parmi ces mesures, l’étude d’impact apparaît comme l’action la plus complexe à lancer et à réaliser. Cette analyse est pourtant un dispositif essentiel du RGPD, en ce sens qu’elle vise à évaluer les risques juridiques et techniques des traitements de données personnelles et permet ainsi de garantir la conformité des pratiques de traitement des données avec les exigences liées à la protection de la vie privée.

L’étude d’impact concerne toutes les organisations qui traitent de données personnelles dans le cadre de leurs activités et s'applique lorsque le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées.

La notion de « risque élevé pour les droits et libertés » n’est pas évidente à appréhender. A ce titre, le RGPD qualifie de risque élevé : (i) l’évaluation systématique et approfondie d’aspects personnels d’une personne y compris le profilage, (ii) le traitement à grande échelle de catégories particulières de données (par exemple des informations relatives à la santé), (iii) la surveillance systématique à grande échelle d’une zone accessible au public.

Cette liste, non exhaustive, a donné lieu à quelques précisions de la part des autorités de contrôle basées sur différents critères d’analyse. A titre d’exemples, doivent faire l’objet d’une étude d’impact les traitements de données de santé mis en œuvre au sein des établissements de santé ou médico-sociaux, les traitements portant sur la vidéosurveillance, les traitements établissant un score pour l’octroi de crédit ou encore les traitements visant à personnaliser les publicités en ligne.

L'analyse juridique de l'étude d’impact nécessite une solide compréhension des textes de lois et de la règlementation en matière de protection des données. Ses principaux éléments sont :

  • La connaissance détaillée du traitement des données faisant l’objet de l’étude d’impact (par exemple le type de données et de personnes concernées, les durées de conservation associées, la liste des supports, la compréhension des processus, etc.).
  • L’évaluation des mesures garantissant la proportionnalité et la nécessité du traitement en cause (par exemple finalité, base légale, minimisation des données, qualité des données, etc.).
  • L’évaluation des mesures protectrices des droits des personnes concernées par le traitement (par exemple consentement, transparence, exercice des droits, etc.).
  • L’analyse de la sous-traitance (par exemple analyse contractuelle de la sous-traitance directe et ultérieure).
  • L’évaluation des transferts de données réalisés hors de l'UE afin de s’assurer que les mécanismes appropriés pour garantir un niveau adéquat de protection des données sont implémentés (par exemple clauses contractuelles types, règles d'entreprise contraignantes ou décisions d'adéquation de la Commission européenne).

L'approche technique de l'étude d’impact nécessite quant à elle une expertise en matière de sécurité des données et de protection de la vie privée ainsi que la prise en compte des bonnes pratiques et des normes en matière de sécurité de l'information. Ces aspects clés sont :

  • L’analyse des données traitées à travers l’identification des types de données personnelles traitées (données sensibles ou non, nature, volume, sensibilité, localisation, etc.) pour comprendre les risques associés à ces données.
  • L’évaluation de la sécurité des données qui peut inclure l'examen des contrôles d'accès, de la gestion des identités et des droits, des mesures de chiffrement, des sauvegardes, des pares-feux, des systèmes de détection d'intrusion, etc.
  • L’évaluation des risques pour la vie privée des personnes concernées par le traitement des données qui peut comprendre les risques de divulgation non autorisée, de modification ou de destruction des données, ainsi que les risques de violation de la confidentialité ou de perte de contrôle des données.
  • Les mécanismes de protection des données sont mis œuvre à travers des mesures techniques pour atténuer les risques identifiés grâce aux techniques de pseudonymisation, d'anonymisation, de chiffrement des données ou de tout mécanisme de protection de l'intégrité des données.
  • La gestion des incidents de sécurité avec la mise en place de mécanismes de surveillance, d'alerte et de réponse aux incidents, ainsi que la documentation des incidents survenus et des actions correctives prises.
  • La formation et la sensibilisation du personnel impliqué dans le traitement des données aux bonnes pratiques de sécurité des données et à la protection de la vie privée.
  • La documentation et la traçabilité des mesures techniques mises en œuvre dans le cadre de l'étude d’impact, y compris les choix technologiques, les configurations de sécurité, les politiques et les procédures et pour lesquelles l’organisation s’assure du maintien de la traçabilité des décisions prises ainsi que des actions réalisées.

Ce travail doit bien entendu être documenté de façon détaillée en conservant la liste des référentiels, les analyses juridiques effectuées, la justification du choix des mesures réalisées par l’organisation, etc.

De même, l’ensemble de ce travail pourra déboucher sur un plan d’actions juridique et technique qui aura pour principal objectif d’atténuer les risques identifiés. Il peut s’agir de la révision des politiques de confidentialité, la mise en œuvre de clauses contractuelles spécifiques, l'adoption de mécanismes de consentement appropriés et la mise en place de garanties de protection des données avec les sous-traitants, etc.