Une analyse d’impact relative à la protection des données (AIPD) est une étude de risques effectuée sur un traitement. Elle n’est pas nécessaire dans tous les cas puisqu’elle vise les traitements « susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques » (article 35 paragraphe 1 du Règlement général sur la protection des données dit RGPD).
Cette définition étant soumise à appréciation, le RGPD précise trois cas dans lesquels une analyse d’impact doit particulièrement être réalisée et précise que l’autorité de contrôle (la CNIL en France) doit publier une liste de type d’opérations dans lesquels une analyse d’impact est nécessaire.
Ces trois cas sont les suivants :
A noter qu’une analyse d’impact qui n’est pas réalisée lorsque nécessaire, qui n’est pas réalisée correctement, ou lorsque l’autorité de contrôle n’est pas consultée après une analyse d’impact qui montrerait des risques significatifs, est passible d’une sanction pouvant atteindre les 10 millions d’euros ou les 2% du chiffre d’affaires mondial globalisé.
La CNIL a donc créé une liste qui a été soumise à la validation du Comité européen de la protection des données (CEPD). Cette liste a été adoptée par la CNIL le 11 octobre 2018 et publiée au Journal Officiel le 6 novembre 2018. Elle a été élaborée grâce aux neuf critères fixés par le CEPD dans sa ligne directrice relative à l’analyse d’impact.
Au sein de la liste de la CNIL, on voit clairement apparaitre une volonté d’encadrer les traitements liés à la santé. On retrouve donc, parmi les 14 traitements évoqués, six traitements en lien avec le domaine de la santé :
Les établissements médico-sociaux sont particulièrement visés par cette liste.
Ces derniers devront donc systématiquement effectuer une analyse d’impact sur leurs traitements, tout particulièrement lorsque ceux-ci sont effectués sur des personnes dites vulnérables (enfants, personnes âgées, patients par exemple).
Les établissements médico-sociaux doivent effectuer une analyse d’impact avant que le traitement soit mis en place. Cela s’inscrit dans le principe de Privacy by Design où tout traitement doit être analysé avant d’être effectué.
L’analyse doit s’accorder à l’article 35 paragraphe 7 du RGPD. Elle doit décrire systématiquement toutes les opérations relatives au traitement envisagé, les finalités de traitement et justifier de l’intérêt légitime de l’entreprise si c’est la base légale du traitement.
Le RGPD pose comme grand principe la nécessité, la proportionnalité et la minimisation de la collecte de données. L’AIPD doit donc suivre le même chemin et évaluer la nécessité et la proportionnalité des opérations par rapport aux finalités recherchées. Il faut également effectuer une évaluation des risques et décrire les mesures envisagées pour limiter ces risques. S’il reste ce que l’on nomme des risques résiduels (des risques qui ne peuvent être limités, qui seraient avérés ou qui auraient des conséquences irréversible), alors l’autorité de contrôle doit être consultée.
Tout établissement médico-social devra donc se plier à cette exigence. Mais il faut également élargir le spectre.
Par exemple une structure qui créerait un fichier de données de santé (on peut penser à un registre pour les allergies d’enfants dans une cantine par exemple), serait dans l’obligation de pratiquer une analyse d’impact, même si cet établissement n’est pas un établissement médical ou social à proprement parler.
Le CEPD a établi neuf critères pour lesquels l’analyse d’impact doit être mise en place. L’AIPD doit être effectuée lorsque deux de ces critères sont validés. Parmi ceux-là se trouvent les données santé mais également les données concernant des personnes vulnérables (enfants, personnes âgées) ou encore l’utilisation de nouvelles technologies.
Il est également conseillé de toujours consulter son Délégué à la protection des données personnelles (DPO) lorsque le responsable de traitement se pose la question de mener une AIPD. Que ce soit un DPO externe ou interne, il peut être de bons conseils, et est généralement celui qui va mener cette analyse d’impact.
A lire : RGPD et essai clinique : une nécessaire articulation
1/ Pour un établissement qui n’est pas un établissement médico-social mais qui mettrait en place un traitement répondant à deux des neuf critères du CEPD, le responsable de traitement peut décider de ne pas mener d’AIPD. Dans ce cas, il devra documenter sa décision, et indiquer l’avis du DPO sur le sujet.
2/ Les traitements mis en place avant l’entrée en application du RGPD : ils peuvent être exemptés d’analyse si et seulement s’ils ont fait l’objet d’une analyse par l’autorité de contrôle (sous forme de déclaration CNIL par exemple). Toutefois, cela ne concerne que les traitements qui seraient restés identiques. Si le traitement a évolué, il faut alors effectuer l’analyse d’impact.
– Zoé Durand