Publications

Analyse d’impact relative à la protection des données (AIPD) et données de santé, quelles sont les bonnes pratiques à mettre en œuvre ? – Par Zoé Durand
Publié le 15 février 2019

1/ Qu’est-ce que l’analyse d’impact ?

 

Une analyse d’impact relative à la protection des données (AIPD) est une étude de risques effectuée sur un traitement. Elle n’est pas nécessaire dans tous les cas puisqu’elle vise les traitements « susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques » (article 35 paragraphe 1 du Règlement général sur la protection des données dit RGPD).

 

Cette définition étant soumise à appréciation, le RGPD précise trois cas dans lesquels une analyse d’impact doit particulièrement être réalisée et précise que l’autorité de contrôle (la CNIL en France) doit publier une liste de type d’opérations dans lesquels une analyse d’impact est nécessaire.

 

Ces trois cas sont les suivants :

  • L’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, fondée sur un traitement automatisé, et sur la base de laquelle sont prises des décisions produisant des effets juridiques
  • Le traitement à grande échelle de catégories particulières de données
  • La surveillance systématique à grande échelle

 

A noter qu’une analyse d’impact qui n’est pas réalisée lorsque nécessaire, qui n’est pas réalisée correctement, ou lorsque l’autorité de contrôle n’est pas consultée après une analyse d’impact qui montrerait des risques significatifs, est passible d’une sanction pouvant atteindre les 10 millions d’euros ou les 2% du chiffre d’affaires mondial globalisé.

 

2/ La CNIL publie sa liste de traitements soumis à analyse d’impact

 

La CNIL a donc créé une liste qui a été soumise à la validation du Comité européen de la protection des données (CEPD). Cette liste a été adoptée par la CNIL le 11 octobre 2018 et publiée au Journal Officiel le 6 novembre 2018. Elle a été élaborée grâce aux neuf critères fixés par le CEPD dans sa ligne directrice relative à l’analyse d’impact.

 

Au sein de la liste de la CNIL, on voit clairement apparaitre une volonté d’encadrer les traitements liés à la santé. On retrouve donc, parmi les 14 traitements évoqués, six traitements en lien avec le domaine de la santé :

  • Traitements de données de santé mis en œuvre par les établissements de santé ou les établissements médico-sociaux pour la prise en charge des personnes
  • Traitements portant sur les données génétiques de personnes dites « vulnérables », dont les patients et les personnes âgées
  • Traitements ayant pour finalité la gestion des alertes et des signalements en matière sociale et sanitaire
  • Traitements de données de santé nécessaires à la constitution d’un entrepôt de données ou d’un registre
  • Traitements de données biométriques aux fins de reconnaissance des personnes parmi lesquelles figurent des personnes dites « vulnérables »
  • Traitement ayant pour finalité l’accompagnement social ou médico-social des personnes

 

Les établissements médico-sociaux sont particulièrement visés par cette liste.

Ces derniers devront donc systématiquement effectuer une analyse d’impact sur leurs traitements, tout particulièrement lorsque ceux-ci sont effectués sur des personnes dites vulnérables (enfants, personnes âgées, patients par exemple).

 

3/ Dans les faits, quelle est la marche à suivre pour les établissements médico-sociaux ?

 

Les établissements médico-sociaux doivent effectuer une analyse d’impact avant que le traitement soit mis en place. Cela s’inscrit dans le principe de Privacy by Design où tout traitement doit être analysé avant d’être effectué.

 

L’analyse doit s’accorder à l’article 35 paragraphe 7 du RGPD. Elle doit décrire systématiquement toutes les opérations relatives au traitement envisagé, les finalités de traitement et justifier de l’intérêt légitime de l’entreprise si c’est la base légale du traitement.

Le RGPD pose comme grand principe la nécessité, la proportionnalité et la minimisation de la collecte de données. L’AIPD doit donc suivre le même chemin et évaluer la nécessité et la proportionnalité des opérations par rapport aux finalités recherchées. Il faut également effectuer une évaluation des risques et décrire les mesures envisagées pour limiter ces risques. S’il reste ce que l’on nomme des risques résiduels (des risques qui ne peuvent être limités, qui seraient avérés ou qui auraient des conséquences irréversible), alors l’autorité de contrôle doit être consultée.

 

Tout établissement médico-social devra donc se plier à cette exigence. Mais il faut également élargir le spectre.

Par exemple une structure qui créerait un fichier de données de santé (on peut penser à un registre pour les allergies d’enfants dans une cantine par exemple), serait dans l’obligation de pratiquer une analyse d’impact, même si cet établissement n’est pas un établissement médical ou social à proprement parler.

Le CEPD a établi neuf critères pour lesquels l’analyse d’impact doit être mise en place. L’AIPD doit être effectuée lorsque deux de ces critères sont validés. Parmi ceux-là se trouvent les données santé mais également les données concernant des personnes vulnérables (enfants, personnes âgées) ou encore l’utilisation de nouvelles technologies.

Il est également conseillé de toujours consulter son Délégué à la protection des données personnelles (DPO) lorsque le responsable de traitement se pose la question de mener une AIPD. Le DPO peut être de bons conseils, et est généralement celui qui va mener cette analyse d’impact.

 

A noter : 1/ Pour un établissement qui n’est pas un établissement médico-social mais qui mettrait en place un traitement répondant à deux des neuf critères du CEPD, le responsable de traitement peut décider de ne pas mener d’AIPD. Dans ce cas, il devra documenter sa décision, et indiquer l’avis du DPO sur le sujet.

 

2/ Les traitements mis en place avant l’entrée en application du RGPD : ils peuvent être exemptés d’analyse si et seulement s’ils ont fait l’objet d’une analyse par l’autorité de contrôle (sous forme de déclaration CNIL par exemple). Toutefois, cela ne concerne que les traitements qui seraient restés identiques. Si le traitement a évolué, il faut alors effectuer l’analyse d’impact.

 

En bref :

  • L’analyse d’impact doit s’effectuer pour tout traitement à risque, à l’appréciation du responsable de traitement et sur avis du DPO.
  • D’après la délibération du 11 octobre 2018, les établissements médico-sociaux doivent faire une analyse d’impact pour leurs traitements de santé
  • Les établissements qui ne sont pas des établissements médico-sociaux doivent mener une AIPD dès lors que le traitement de données de santé concerné apparait dans la liste de la CNIL des 14 traitements ou alors s’il valide deux des neuf critères fixés par la CEPD