RGPD: l’analyse d’impact relative à la protection des données (DPIA)

L’apport majeur du RGPD est d’avoir renforcé les droits des personnes concernées par un traitement de données à caractère personnel au moyen d’un bouleversement des principes s’imposant aux acteurs.

Ainsi, a-t-on assisté au passage d’une logique de formalités préalables (déclarations et autorisations) à une logique de conformité et de responsabilité.

Le changement de paradigme ainsi opéré combiné à l’appel à des outils de droit souple tels que les référentiels, les codes de bonne conduite et les packs de conformité, est un gage d’allègement des démarches administratives et de réduction des délais de mise en œuvre pour les entreprises.

Cet allègement des formalités introduit par le RGPD a pour contrepartie l’établissement de nouvelles obligations pesant sur les responsables de traitements et sous-traitants telles que :

  • La mise en œuvre d’outils de protection des données personnelles dès la conception du traitement ou par défaut (article 25)
  • L’obligation de tenir une documentation, en particulier au travers d’un registre des activités de traitement (article 30)
  • La notification des violations de données personnelles à l’autorité de protection et, dans certains cas, à la personne concernée (articles 33 et 34)
  • La désignation d’un délégué à la protection des données (article 37)
  • L’adhésion à des codes de bonne conduite (articles 40 et 41)
  • La participation à des mécanismes de certification (articles 42 et 43)

Ainsi le RGPD se fonde-t-il sur une logique de responsabilisation des acteurs qui mettent en œuvre des traitements de données à caractère personnel en introduisant le principe d’accountability.

Bien qu’il soit difficile de définir avec précision le sens de ce principe dans la pratique, on peut toutefois avancer qu’il met l’accent, en substance, sur la manière dont la responsabilité (responsability) est assumée et sur la manière de le vérifier.

En anglais, les termes « responsibility » et « accountability » sont comme l’avers et le revers d’une médaille et sont tous deux des éléments essentiels de la bonne gouvernance.

On ne peut inspirer une confiance suffisante que s’il est démontré que la responsabilité (responsability) est efficacement assumée dans la pratique.

Au fond, le principe d’« accountability » s’articule autour de deux axes :

  • D’une part, la nécessité pour le responsable du traitement des données de prendre des mesures appropriées et efficaces pour mettre en œuvre les principes de protection des données
  • D’autre part, la nécessité pour le responsable du traitement de démontrer, sur demande, que des mesures appropriées et efficaces ont été prises.

Pour atteindre ces deux objectifs, il appartient au responsable du traitement de se doter d’une politique de gestion de la conformité, ce qui doit se traduire par la mise en œuvre de procédures internes visant à mettre en application les principes de la protection des données.

Dans cette perspective, les mesures prises par le responsable du traitement doivent être adaptées aux circonstances. En somme, les mesures spécifiques à appliquer doivent être arrêtées selon les faits et circonstances de chaque cas particulier, compte tenu, en particulier, du risque associé au traitement et aux types de données.

L’adéquation des mesures doit donc être établie au cas par cas et plus précisément selon le niveau de risque : plus le traitement de données est sensible et plus les mesures prises pour assurer la protection des personnes concernées devront être renforcées.

Afin d’orienter le responsable du traitement dans cette voie et de lui permettre de définir et mettre en œuvre les mesures requises pour garantir la conformité de ses opérations avec les principes et obligations du RGPD et en fassent vérifier l’efficacité de manière périodique, le législateur a mis à sa charge un certain nombre d’obligations, dont l’obligation de réaliser une analyse d’impact.

I) Notion

Lorsque les opérations de traitement sont susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le RGPD met à la charge du responsable du traitement une obligation de réalisation d’une étude d’impact relative à la protection des données (DPIA – Data Protection Impact Assessment – Analyse d’impact relative à la protection des données – AIPD ou PIA)

En somme, l’analyse d’impact est un processus dont l’objet est de décrire le traitement, d’en évaluer la nécessité ainsi que la proportionnalité et d’aider à gérer les risques pour les droits et libertés des personnes physiques liés au traitement de leurs données à caractère personnel, en les évaluant et en déterminant les mesures nécessaires pour y faire face.

Lorsque, par exemple, il ressort d’une analyse d’impact relative à la protection des données que les opérations de traitement des données comportent un risque élevé que le responsable du traitement ne peut atténuer en prenant des mesures appropriées compte tenu des techniques disponibles et des coûts liés à leur mise en œuvre, l’autorité de contrôle doit alors être consultée avant que le traitement n’ait lieu.

De toute évidence, l’analyse d’impact est un outil important au regard du principe de responsabilité, compte tenu de son utilité pour le responsable du traitement non seulement aux fins du respect des exigences du RGPD, mais également en ce qui concerne sa capacité à démontrer que des mesures appropriées ont été prises pour assurer la conformité au règlement

Ainsi, l’analyse d’impact s’apparente-t-elle à un processus qui vise à assurer la conformité aux règles et à pouvoir en apporter la preuve.

II) Étendue de l’obligation

Conformément à l’approche par les risques préconisée par le RGPD, il n’est pas obligatoire d’effectuer une analyse d’impact pour chaque opération de traitement.

Une AIPD n’est requise que lorsque le traitement est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques ».

A cet égard, il ressort de l’article 35 du RGPD qu’il convient de distinguer les cas où l’analyse d’impact est obligatoire et les cas où elle est seulement facultative

A) L’analyse d’impact obligatoire

Il convient de distinguer les traitements qui sont intervenus avant l’entrée en vigueur du RGPD de ceux mis en œuvre après

  1. Les traitements intervenus postérieurement à l’entrée en vigueur du RGPD

Une analyse d’impact doit obligatoirement être mené quand le traitement est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées ».

A cet égard, trois cas doivent être distinguées :

  • Soit le traitement correspond à l’un des cas envisagés par le RGPD
  • Soit le traitement envisagé figure dans la liste des types d’opérations de traitement pour lesquelles la CNIL a estimé obligatoire de réaliser une analyse d’impact
  • Soit le traitement remplit au moins deux des neuf critères issus des lignes directrices du G29 :

==> Le traitement correspond à l’un des cas envisagés par le RGPD

L’article 35,3 du RGPD prévoit que la réalisation d’une étude d’impact est obligatoire dans trois cas :

  • L’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire ;
  • Le traitement à grande échelle de catégories particulières de données visées à l’article 9, paragraphe 1, ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10 ;
  • La surveillance systématique à grande échelle d’une zone accessible au public.

Dans ces trois cas, le texte pose une véritable présomption irréfragable de risque élevée d’atteinte aux droits et libertés de la personne concernée par le traitement.

==> Le traitement correspond à l’un des cas envisagés par la CNIL

Comme le laisse entendre la locution « en particulier » dans le 3 de l’article 35 du RGPD, la liste ainsi posée n’est pas exhaustive.

Aussi, même si elles ne figurent pas dans cette liste, d’autres opérations de traitement sont susceptibles de rendre obligatoire la réalisation d’une analyse d’impact, dès lors que le traitement présente un risque élevé.

La question qui alors se pose est de savoir ce que l’on doit entendre par « risque élevé ».

Pour la CNIL, un « risque sur la vie privée » est un scénario décrivant :

  • Un événement redouté (atteinte à la confidentialité, la disponibilité ou l’intégrité des données, et ses impacts potentiels sur les droits et libertés des personnes) ;
  • Toutes les menaces qui permettraient qu’il survienne.

Ce risque est estimé en termes de gravité et de vraisemblance. La gravité doit être évaluée pour les personnes concernées, et non pour l’organisme.

Afin de faciliter la tâche des responsables de traitement, la CNIL a établi une liste des traitements qui sont irréfragablement présumés présenter un risque élevé pour les droits et libertés des personnes concernés. Il en résulte que la réalisation d’une analyse d’impact pour ces traitements est obligatoire, alors même qu’ils ne sont pas expressément visés par le RGPD :

  • Traitements de données de santé mis en œuvre par les établissements de santé ou les établissements médicosociaux pour la prise en charge des personnes
    • Traitements « de santé » mis en œuvre par les établissements de santé (hôpital, CHU, cliniques, etc.) :
      • Dossier « patients »
      • Algorithmes de prise de décision médicale
      • Dispositifs de vigilances sanitaires et de gestion du risque
      • Dispositifs de télémédecine
      • Gestion du laboratoire de biologie médicale et de la pharmacie à usage intérieur, etc.
    • Traitement portant sur les dossiers des résidents pris en charge par un centre communal d’action sociale (CCAS) ou par un établissement d’hébergement pour personnes âgées dépendantes (EPHAD).
  • Traitements portant sur des données génétiques de personnes dites « vulnérables » (patients, employés, enfants, etc.)
    • Mise en œuvre d’une recherche médicale portant sur des patients et incluant le traitement de leurs données génétiques
    • Traitement utilisé pour la gestion d’une consultation de génétique dans un établissement de santé
  • Traitements établissant des profils de personnes physiques à des fins de gestion des ressources humaines
    • Traitement de détection et de gestion de « hauts potentiels »
    • Traitement visant à faciliter le recrutement, notamment grâce à un algorithme de sélection
    • Traitement visant à proposer des actions de formations personnalisées grâce à un algorithme
    • Traitement visant détecter et à prévenir les départs de salariés sur la base de corrélations établies entre divers facteurs.
  • Traitements ayant pour finalité de surveiller de manière constante l’activité des employés concernés
    • Dispositif de cyber surveillance tels que ceux procédant à une analyse des flux de courriels sortants afin de détecter d’éventuelles fuites d’information (dispositifs dits de Data Loss Prevention)
    • Vidéosurveillance portant sur les employés manipulant de l’argent
    • Vidéosurveillance d’un entrepôt stockant des biens de valeur au sein duquel travaillent des manutentionnaires
    • Chronotachygraphe des véhicules de transport routier.
  • Traitements ayant pour finalité la gestion des alertes et des signalements en matière sociale et sanitaire
    • Dispositif de signalement de mineurs en danger
    • Traitement utilisé par une agence sanitaire pour la gestion d’une crise sanitaire ou d’une alerte sanitaire
    • Dispositif de signalement de situations de maltraitance sur des personnes vulnérables (personnes âgées, en situation de handicap, etc.).
  • Traitements ayant pour finalité la gestion des alertes et des signalements en matière professionnelle
    • Dispositif de recueil d’alertes professionnelles pour les organismes privés ou publics concernés
    • Dispositif de recueil de signalements concernant des faits de trafic d’influence ou de corruption commis au sein de l’organisme
    • Dispositif d’alerte mis en œuvre dans le cadre du devoir de vigilance.
  • Traitements des données de santé nécessaires à la constitution d’un entrepôt de données ou d’un registre
    • Entrepôt de données de santé mis en œuvre par un établissement de santé ou une personne privée, pour servir des finalités de recherche.
  • Traitements impliquant le profilage des personnes pouvant aboutir à leur exclusion du bénéfice d’un contrat ou à la suspension voire à la rupture de celui-ci
    • Traitement établissant un score pour l’octroi de crédit
    • Traitement reposant sur une analyse comportementale visant à détecter des comportements « interdits » sur un réseau social
    • Traitement de lutte contre la fraude aux moyens de paiement.
  • Traitements mutualisés de manquements contractuels constatés, susceptibles d’aboutir à une décision d’exclusion ou de suspension du bénéfice d’un contrat
    • Traitement recensant les impayés et souscriptions irrégulières partagé par un secteur d’activité
    • Traitement des résiliations automobiles qui permet aux sociétés d’assurances de vérifier les antécédents d’un futur assuré lors de la demande de souscription d’un contrat d’assurance automobile.
  • Traitements de profilage faisant appel à des données provenant de sources externes
    • Combinaison de données opérée par des courtiers en données (data brokers)
    • Traitement visant à personnaliser les publicités en ligne
  • Traitements de données biométriques aux fins de reconnaissance des personnes parmi lesquelles figurent des personnes dites « vulnérables » (élèves, personnes âgées, patients, demandeurs d’asile, etc.)
    • Traitement basé sur la reconnaissance de l’empreinte digitale ayant pour finalité le contrôle de l’identité des patients
    • Contrôle d’accès à la cantine scolaire par reconnaissance du contour de la main
  • Instruction des demandes et gestion des logements sociaux
    • Traitement visant à permettre l’instruction des demandes de logement social en location ou en accession à la propriété.
  • Traitements ayant pour finalité l’accompagnement social ou médico-social des personnes
    • Traitement mis en œuvre par un établissement ou une association dans le cadre de la prise en charge de personnes en insertion ou réinsertion sociale et professionnelle
    • Traitement mis en œuvre par les maisons départementales des personnes handicapées dans le cadre de l’accueil, l’hébergement, l’accompagnement et le suivi de ces personnes
    • Traitement mis en œuvre par un centre communal d’action sociale dans le cadre du suivi de personnes atteintes de pathologies chroniques invalidantes en situation de fragilité sociale.
  • Traitements de données de localisation à large échelle
    • Application mobile permettant de collecter les données de géolocalisation des utilisateurs
    • Fourniture d’un service de géolocalisation de mobilité urbaine utilisé par un grand nombre de personnes
    • Base de données « clients » des opérateurs de communication électronique
    • Mise en œuvre d’un système de billettique par des opérateurs de transport.

==> Le traitement remplit au moins deux des neuf critères issus des lignes directrices du G29

Dès lors que le traitement remplit au moins deux des neufs critères posés par le Groupe de l’article 29, il est réputé faire peser un risque élevé pour les droits et libertés de la personne concernée.

Au nombre de ces critères figurent :

  • Évaluation/scoring (y compris le profilage)
    • Sont visées en particulier les activités portant sur des aspects concernant le rendement au travail de la personne concernée, sa situation économique, sa santé, ses préférences ou centres d’intérêt personnels, sa fiabilité ou son comportement, ou sa localisation et ses déplacements
  • Décision automatique avec effet légal ou similaire
    • Il s’agit du traitement ayant pour finalité la prise de décisions à l’égard des personnes concernées produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire
  • Surveillance systématique
    • Est ici notamment visé le traitement utilisé pour observer, surveiller ou contrôler les personnes concernées, y compris la collecte de données via des réseaux ou par la surveillance systématique d’une zone accessible au public
  • Collecte de données sensibles ou données à caractère hautement personnel
    • Il s’agit de catégories particulières de données à caractère personnel visées à l’article 9 du RGPD (informations concernant les opinions politiques des personnes, par exemple) ainsi que des données à caractère personnel relatives aux condamnations pénales ou aux infractions visées à l’article 10
  • Collecte de données personnelles à large échelle
    • Pour déterminer si le traitement est effectué à grande échelle, le GT29 recommande de prendre en compte, en particulier, les facteurs suivants :
      • Le nombre de personnes concernées, soit en valeur absolue, soit en proportion de la population considérée ;
      • Le volume de données et/ou l’éventail des différents éléments de données traitées ;
      • La durée ou la permanence de l’activité de traitement de données ;
      • L’étendue géographique de l’activité de traitement
  • Croisement ou combinaison d’ensembles de données
    • Ils peuvent être issus de deux opérations de traitement de données, ou plus, effectuées à des fins différentes et/ou par différents responsables du traitement, d’une manière qui outrepasserait les attentes raisonnables de la personne concernée
  • Personnes vulnérables (patients, personnes âgées, enfants, etc.)
    • le traitement de ce type de données est un critère en raison du déséquilibre des pouvoirs accru qui existe entre les personnes concernées et le responsable du traitement, ce qui signifie que les premières peuvent se trouver dans l’incapacité de consentir, ou de s’opposer, aisément au traitement de leurs données ou d’exercer leurs droits. P
  • Usage innovant (utilisation d’une nouvelle technologie)
    • Utilisation combinée, par exemple, de systèmes de reconnaissance des empreintes digitales et de reconnaissance faciale pour améliorer le contrôle des accès physiques, etc.
  • Exclusion du bénéfice d’un droit/contrat
    • Ces traitements incluent notamment les opérations visant à autoriser, modifier ou refuser l’accès à un service ou la conclusion d’un contrat

Dans la plupart des cas, le responsable du traitement peut considérer qu’un traitement satisfaisant à deux critères nécessite une analyse d’impact.

D’une manière générale, le Groupe de l’article 29 estime que plus le traitement remplit de critères, plus il est susceptible de présenter un risque élevé pour les droits et libertés des personnes concernées et par conséquent de nécessiter une analyse d’impact, quelles que soient les mesures que le responsable du traitement envisage d’adopter.

Néanmoins, dans certains cas, le responsable du traitement peut considérer que même si son traitement ne satisfait qu’à un seul de ces critères, il requiert malgré tout une AIPD.

2. Les traitements intervenus antérieurement à l’entrée en vigueur du RGPD

Lorsque le traitement est intervenu avant l’entrée en vigueur du RGPD, la CNIL considère qu’une étude d’impact ne sera pas exigée pour :

  • Les traitements qui ont fait l’objet d’une formalité préalable auprès de la CNIL avant le 25 mai 2018, ou qui étaient dispensés de formalité.
  • Les traitements qui ont été consignés au registre d’un correspondant informatique et libertés

Cette dispense d’obligation de réaliser une analyse d’impact, pour les traitements existants et régulièrement mis en œuvre, est limitée à une période de 3 ans.

Cela signifie que, à l’issue de ce délai, les responsables de traitement doivent avoir effectué une telle étude si le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes.

En revanche, l’étude d’impact devra être réalisée, sans attendre l’issue de ce délai de trois ans, dans tous les autres cas, dès lors que le traitement présente un risque élevé, soit :

  • Pour tout nouveau traitement mis en œuvre après le 25 mai 2018
  • Pour les traitements antérieurs n’ayant pas fait l’objet de formalités préalables auprès de la CNIL
  • Pour les traitements, antérieurs au 25 mai et qui ont été dispensés d’étude d’impact en raison de l’accomplissement d’une formalité préalable auprès de la CNIL, mais qui font l’objet d’une modification significative.

B) L’analyse d’impact facultative

Selon la CNIL, l’analyse d’impact n’est pas requise dans les cas suivants :

  • Quand le traitement ne présente pas de risque élevé pour les droits et libertés des personnes concernées ;
  • Lorsque la nature, la portée, le contexte et les finalités du traitement envisagé sont très similaires à un traitement pour lequel une AIPD a déjà été menée ;
  • Quand le traitement répond à une obligation légale ou est nécessaire à l’exercice d’une mission de service public (art 6.1.c 6.1.e), sous réserve que les conditions suivantes soient remplies :
    • Qu’il ait une base juridique dans le droit de l’UE ou le droit de l’État membre ;
    • Que ce droit règlemente cette opération de traitement ;
    • Qu’une AIPD ait déjà été menée lors de l’adoption de cette base juridique ;
  • Quand le traitement correspond à une exception déterminée par la CNIL conformément à l’article 35(5). La CNIL adoptera prochainement la liste de ces exceptions, après consultation du CEPD (Comité européen de protection des données).

III) Le contenu de l’analyse d’impact

En vertu de l’article 35 du RGPD, l’analyse d’impact doit contenir plusieurs éléments que sont :

  • Une description systématique des opérations de traitement envisagées et des finalités du traitement, y compris, le cas échéant, l’intérêt légitime poursuivi par le responsable du traitement
  • Une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités
  • Une évaluation des risques pour les droits et libertés des personnes concernées
  • Les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du présent règlement, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes affectées.

Le respect d’un code de conduite (article 40) doit être pris en compte (article 35, paragraphe 8) lors de l’évaluation de l’impact d’une opération de traitement de données.

Ceci peut être utile pour démontrer que des mesures adéquates ont été choisies ou mises en place, à condition toutefois que le code de conduite soit approprié pour l’opération de traitement considérée.

Il convient également de prendre en compte les garanties que représentent les certifications, labels et marques destinés à démontrer la conformité au RGPD des opérations de traitement effectuées par les responsables du traitement et les sous-traitants (article 42) ainsi que l’application de règles d’entreprise contraignantes (REC).

IV) La réalisation de l’analyse d’impact

==> Les intervenants à l’analyse d’impact

  • Le responsable du traitement
    • La responsabilité de veiller à ce qu’une analyse d’impact soit effectuée incombe d’abord au responsable du traitement
    • Elle peut également être réalisée par quelqu’un d’autre, à l’intérieur ou à l’extérieur de l’organisation, mais le responsable du traitement reste responsable en dernier ressort de cette tâche.
  • Le délégué à la protection des données
    • Lorsqu’il effectue une analyse d’impact relative à la protection des données, le responsable du traitement a l’obligation de demander conseil au délégué à la protection des données, si un tel délégué a été désigné.
  • Le sous-traitant
    • Le considérant 95 du RGPD précise que, en cas de sous-traitance, le sous-traitant doit aider le responsable du traitement, si nécessaire et sur demande, à assurer le respect des obligations découlant de la réalisation des analyses d’impact relatives à la protection des données et de la consultation préalable de l’autorité de contrôle.
  • Les personnes concernées
    • Le responsable du traitement doit demander l’avis des personnes concernées ou de leurs représentants au sujet du traitement prévu sans préjudice de la protection des intérêts généraux ou commerciaux ou de la sécurité des opérations de traitement
    • Pour le Groupe de l’article 29, cet avis peut être recueilli par divers moyens, selon le contexte (par ex. une étude générique en lien avec les finalités et les moyens de l’opération de traitement, un questionnaire soumis aux représentants du personnel, ou des enquêtes de type habituel envoyées aux futurs clients du responsable du traitement).
    • En tout état de cause, le responsable du traitement doit s’assurer de s’appuyer sur une base juridique pour le traitement de toutes données à caractère personnel impliquées dans cette collecte d’avis.

A défaut, le responsable du traitement doit justifier toute décision de ne pas recueillir l’avis des personnes concernées s’il juge la démarche inappropriée, en estimant par exemple que cela compromettrait la confidentialité de plans d’affaires ou serait disproportionné ou irréalisable.

==> Objet de l’analyse d’impact

L’article 35 du RGPD prévoit qu’une seule et même analyse peut porter sur un ensemble d’opérations de traitement similaires qui présentent des risques élevés similaires.

La CNIL illustre cette règle en prenant deux exemples :

  • Des collectivités qui mettent chacune en place un système de vidéosurveillance similaire pourraient effectuer une seule analyse qui porterait sur ce système bien que celui-ci soit ultérieurement mis en œuvre par des responsables de traitements distincts
  • Un opérateur ferroviaire (responsable de traitement unique) pourrait effectuer une seule analyse d’impact sur le dispositif de la surveillance vidéo déployé dans plusieurs gares.

==> Méthodologie de conduite de l’analyse d’impact

Pour la CNIL, l’analyse d’impact se décompose, au fond, en trois parties :

  • Première partie
    • La description détaillée du traitement mis en œuvre, comprenant tant les aspects techniques qu’opérationnels
  • Deuxième partie
    • L’évaluation, de nature plus juridique, de la nécessité et de la proportionnalité concernant les principes et droits fondamentaux (finalité, données et durées de conservation, information et droits des personnes, etc.) non négociables, qui sont fixés par la loi et doivent être respectés, quels que soient les risques ;
  • Troisième partie
    • L’étude, de nature plus technique, des risques sur la sécurité des données (confidentialité, intégrité et disponibilité) ainsi que leurs impacts potentiels sur la vie privée, qui permet de déterminer les mesures techniques et organisationnelles nécessaires pour protéger les données.

La mise en œuvre de ces trois étapes doit répondre à une certaine méthodologie.

A cet égard, la CNIL préconise de suivre la méthodologie générale suivante :

  • Délimiter et décrire le contexte du (des) traitement(s) considéré(s) ;
  • Analyser les mesures garantissant le respect des principes fondamentaux : la proportionnalité et la nécessité du traitement, et la protection des droits des personnes concernées ;
  • Apprécier les risques sur la vie privée liés à la sécurité des données et vérifier qu’ils sont convenablement traités ;
  • Formaliser la validation de l’analyse d’impact au regard des éléments précédents ou bien décider de réviser les étapes précédentes.

V) La communication de l’analyse d’impact à la CNIL

A) Principe

La communication de l’analyse d’impact à l’autorité de contrôle qu’est la CNIL n’est pas une obligation, à tout le moins le RGPD ne l’exige pas.

Comme tout principe celui-ci n’est, cependant, pas sans être assorti d’exceptions.

B) Exceptions

==> Énoncé des exceptions

L’analyse d’impact doit être communiquée à la CNIL pour consultation dans trois cas :

  • Si le traitement présente un risque élevé d’atteinte aux droits et libertés de la personne concerne
  • La consultation de la CNIL est prévue par un texte spécifique
  • En cas de demande de la CNIL

==> Cas particulier du risque élevé d’atteinte pour les droits et libertés de la personne concernée

  • Principe
    • L’article 36 du RGPD pris en son §1 prévoit que le responsable du traitement doit consulter l’autorité de contrôle préalablement au traitement lorsqu’une analyse d’impact relative à la protection des données effectuée au titre de l’article 35 indique que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque.
  • Mise en œuvre
    • En cas de consultation de la CNIL sur ce fondement, le responsable du traitement doit lui communiquer :
      • Le cas échéant, les responsabilités respectives du responsable du traitement, des responsables conjoints et des sous-traitants participant au traitement, en particulier pour le traitement au sein d’un groupe d’entreprises ;
      • Les finalités et les moyens du traitement envisagé ;
      • Les mesures et les garanties prévues afin de protéger les droits et libertés des personnes concernées en vertu du présent règlement ;
      • Le cas échéant, les coordonnées du délégué à la protection des données ;
      • L’analyse d’impact relative à la protection des données prévue à l’article 35 ;
      • Toute autre information que l’autorité de contrôle demande.
  • Décision
    • Lorsque l’autorité de contrôle est d’avis que le traitement envisagé constituerait une violation du RGPD, en particulier lorsque le responsable du traitement n’a pas suffisamment identifié ou atténué le risque, l’autorité de contrôle fournit par écrit, dans un délai maximum de huit semaines à compter de la réception de la demande de consultation, un avis écrit au responsable du traitement et, le cas échéant, au sous-traitant, et peut faire usage des pouvoirs visés à l’article 58 (pouvoir d’enquête et d’injonction).
    • Ce délai peut être prolongé de six semaines, en fonction de la complexité du traitement envisagé.
    • L’autorité de contrôle informe le responsable du traitement et, le cas échéant, le sous-traitant de la prolongation du délai ainsi que des motifs du retard, dans un délai d’un mois à compter de la réception de la demande de consultation.
    • Ces délais peuvent être suspendus jusqu’à ce que l’autorité de contrôle ait obtenu les informations qu’elle a demandées pour les besoins de la consultation.

La notion de responsable du traitement

Selon le groupe de l’article 29 la notion de responsable du traitement des données et son interaction avec la notion de sous-traitant des données jouent un rôle central dans l’application du RGPD, car elles déterminent la ou les personnes chargées de faire respecter les règles en matière de protection des données et la manière dont les personnes concernées peuvent exercer leurs droits dans la pratique.

Ainsi, en présence d’un traitement de données à caractère personnel il convient de déterminer le responsable à qui il échoit de respecter les règles de protection des droits et libertés et de supporter d’éventuelles sanctions administratives, civiles voire pénales.

Le rôle premier de la notion de responsable du traitement est donc de déterminer qui est chargé de faire respecter les règles de protection des données, et comment les personnes concernées peuvent exercer leurs droits dans la pratique. En d’autres termes, il s’agit d’attribuer les responsabilités.

L’article 3 de la loi informatique et libertés définit le responsable du traitement comme « la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens ».

Dans une approche plus restrictive, la convention 108 désigne le responsable du traitement comme le « «maître du fichier» lequel est « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui est compétent selon la loi nationale, pour décider quelle sera la finalité du fichier automatisé, quelles catégories de données à caractère personnel doivent être enregistrées et quelles opérations leur seront appliquées. »

Cette définition n’a pas été retenue par le RGPD qui prévoit, en son article 4, 7), que le responsable du traitement est « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre ».

À l’examen, la définition du responsable du traitement énoncée dans la directive s’articule, selon le G29, autour de trois composantes principales :

  • L’aspect individuel: « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme »
  • La possibilité d’une responsabilité pluraliste: « qui seul ou conjointement avec d’autres »
  • Les éléments essentiels qui permettent de distinguer le responsable du traitement des autres acteurs: « détermine les finalités et les moyens du traitement de données à caractère personnel »

Afin de déterminer la ou les personnes responsables d’un traitement de données à caractère personne, il convient de se reporter à la méthodologie élaborée par le G29 dans son avis 1/2010 sur les notions de «responsable du traitement» et de «sous-traitant».

I) L’aspect personnel

Le premier élément de la définition a trait à l’aspect personnel: qui peut être responsable du traitement, et donc considéré comme responsable en dernier ressort des obligations découlant de la directive.

La définition reproduit exactement le libellé de l’article 2 de la convention 108 et n’a fait l’objet d’aucun débat particulier lors du processus d’adoption de la directive. Elle renvoie à un vaste éventail de sujets susceptibles de jouer le rôle de responsable du traitement, de la personne physique à la personne morale, en passant par «tout autre organisme».

Il importe que l’interprétation de ce point garantisse la bonne application de la directive, en favorisant autant que possible une identification claire et univoque du responsable du traitement en toutes circonstances, même si aucune désignation officielle n’a été faite et rendue publique.

Il convient avant tout de s’écarter le moins possible de la pratique établie dans les secteurs public et privé par d’autres domaines du droit, tels que le droit civil, le droit administratif et le droit pénal.

Dans la plupart des cas, ces dispositions indiqueront à quelles personnes ou à quels organismes les responsabilités doivent être attribuées et permettront, en principe, d’identifier le responsable du traitement.

==> Principe : le responsable du traitement est une personne morale

Dans la perspective stratégique d’attribution des responsabilités, et afin que les personnes concernées puissent s’adresser à une entité plus stable et plus fiable lorsqu’elles exercent les droits qui leur sont conférés par la directive, il est préférable de considérer comme responsable du traitement la société ou l’organisme en tant que tel, plutôt qu’une personne en son sein.

C’est en effet la société ou l’organisme qu’il convient de considérer, en premier ressort, comme responsable du traitement des données et des obligations énoncées par la législation relative à la protection des données, à moins que certains éléments précis n’indiquent qu’une personne physique doive être responsable.

D’une manière générale, on partira du principe qu’une société ou un organisme public est responsable en tant que tel des opérations de traitement qui se déroulent dans son domaine d’activité et de risques.

Parfois, les sociétés et les organismes publics désignent une personne précise pour être responsable de l’exécution des opérations de traitement.

Cependant, même lorsqu’une personne physique est désignée pour veiller au respect des principes de protection des données ou pour traiter des données à caractère personnel, elle n’est pas responsable du traitement mais agit pour le compte de la personne morale (société ou organisme public), qui demeure responsable en cas de violation des principes, en sa qualité de responsable du traitement.

==> Exception : le responsable du traitement peut être une personne physique

Une analyse distincte s’impose dans le cas où une personne physique agissant au sein d’une personne morale utilise des données à des fins personnelles, en dehors du cadre et de l’éventuel contrôle des activités de la personne morale.

Dans ce cas, la personne physique en cause serait responsable du traitement décidé, et assumerait la responsabilité de cette utilisation de données à caractère personnel. Le responsable du traitement initial pourrait néanmoins conserver une certaine part de responsabilité si le nouveau traitement a eu lieu du fait d’une insuffisance des mesures de sécurité.

Ainsi, le rôle du responsable du traitement est décisif et revêt une importance particulière lorsqu’il s’agit de déterminer les responsabilités et d’infliger des sanctions.

Même si celles-ci varient d’un État membre à l’autre parce qu’elles sont imposées selon les droits nationaux, la nécessité d’identifier clairement la personne physique ou morale responsable des infractions à la législation sur la protection des données est sans nul doute un préalable indispensable à la bonne application de la loi informatique et libertés.

II) La possibilité d’une personne pluraliste

La possibilité que le responsable du traitement agisse «seul ou conjointement avec d’autres» n’avait pas été prévue initialement par les textes.

Ainsi, n’était-il pas envisagé le cas où tous les responsables du traitement décident de façon égale et sont responsables de façon égale d’un même traitement.

Pourtant, la réalité montre qu’il ne s’agit là que d’une des facettes de la «responsabilité pluraliste». Dans cette optique, «conjointement» doit être interprété comme signifiant «ensemble avec» ou «pas seul», sous différentes formes et associations.

Il convient tout d’abord de noter que la probabilité de voir de multiples acteurs participer au traitement de données à caractère personnel est naturellement liée à la multiplicité des activités qui, selon la loi, peuvent constituer un «traitement» devenant, au final, l’objet de la «coresponsabilité».

La définition du traitement énoncée à l’article 2 de la loi informatique et libertés n’exclut pas la possibilité que différents acteurs participent à plusieurs opérations ou ensembles d’opérations appliquées à des données à caractère personnel.

Ces opérations peuvent se dérouler simultanément ou en différentes étapes.

Dans un environnement aussi complexe, il importe d’autant plus que les rôles et les responsabilités puissent facilement être attribués, pour éviter que les complexités de la coresponsabilité n’aboutissent à un partage des responsabilités impossible à mettre en œuvre, qui compromettrait l’efficacité de la législation sur la protection des données.

Ainsi, une coresponsabilité naît lorsque plusieurs parties déterminent, pour certaines opérations de traitement :

  • soit la finalité
  • soit les éléments essentiels des moyens qui caractérisent un responsable du traitement

Cependant, dans le cadre d’une coresponsabilité, la participation des parties à la détermination conjointe peut revêtir différentes formes et n’est pas nécessairement partagée de façon égale.

En effet, lorsqu’il y a pluralité d’acteurs, ils peuvent entretenir une relation très proche (en partageant, par exemple, l’ensemble des finalités et des moyens d’une opération de traitement) ou, au contraire, plus distante (en ne partageant que les finalités ou les moyens, ou une partie de ceux-ci).

Dès lors, un large éventail de typologies de la coresponsabilité doit être examiné, et leurs conséquences juridiques évaluées, avec une certaine souplesse pour tenir compte de la complexité croissante de la réalité actuelle du traitement de données.

Par exemple, le simple fait que différentes parties coopèrent dans le traitement de données à caractère personnel, par exemple dans une chaîne, ne signifie pas qu’elles sont coresponsables dans tous les cas. En effet, un échange de données entre deux parties, sans partage des finalités ou des moyens dans un ensemble commun d’opérations, doit être considéré uniquement comme un transfert de données entre des responsables distincts.

L’appréciation peut toutefois être différente si plusieurs acteurs décident de créer une infrastructure commune afin de poursuivre leurs propres finalités individuelles. En créant cette infrastructure, ces acteurs déterminent les éléments essentiels des moyens à utiliser et deviennent coresponsables du traitement des données, du moins dans cette mesure, même s’ils ne partagent pas nécessairement les mêmes finalités.

À cet égard, l’article 26 du RGPD prévoit que :

  • D’une part, lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement. Les responsables conjoints du traitement définissent de manière transparente leurs obligations respectives aux fins d’assurer le respect des exigences du présent règlement, notamment en ce qui concerne l’exercice des droits de la personne concernée, et leurs obligations respectives quant à la communication des informations visées aux articles 13 et 14, par voie d’accord entre eux, sauf si, et dans la mesure, où leurs obligations respectives sont définies par le droit de l’Union ou par le droit de l’État membre auquel les responsables du traitement sont soumis. Un point de contact pour les personnes concernées peut être désigné dans l’accord.
  • D’autre part, l’accord visé au paragraphe 1 reflète dûment les rôles respectifs des responsables conjoints du traitement et leurs relations vis-à-vis des personnes concernées. Les grandes lignes de l’accord sont mises à la disposition de la personne concernée.
  • Enfin, indépendamment des termes de l’accord visé au paragraphe 1, la personne concernée peut exercer les droits que lui confère le présent règlement à l’égard de et contre chacun des responsables du traitement.

III) Les éléments essentiels qui permettent de distinguer le responsable du traitement des autres acteurs

Le responsable du traitement est celui qui « détermine les finalités et les moyens du traitement de données à caractère personnel ».

Cette composante comporte deux éléments qu’il convient d’analyser séparément :

  • Détermine
  • Les finalités et les moyens du traitement

A) Détermine

La notion de responsable du traitement est une notion fonctionnelle, visant à attribuer les responsabilités aux personnes qui exercent une influence de fait, et elle s’appuie donc sur une analyse factuelle plutôt que formelle.

Par conséquent, un examen long et approfondi sera parfois nécessaire pour déterminer cette responsabilité. L’impératif d’efficacité impose cependant d’adopter une approche pragmatique pour assurer une prévisibilité de la responsabilité.

À cet égard, des règles empiriques et des présomptions concrètes sont nécessaires pour guider et simplifier l’application de la législation en matière de protection des données.

Ceci implique une interprétation de la directive garantissant que «l’organisme qui détermine» puisse être facilement et clairement identifié dans la plupart des cas, en s’appuyant sur les éléments de droit et/ou de fait à partir desquels l’on peut normalement déduire une influence de fait, en l’absence d’indices contraires.

Ces contextes peuvent être analysés et classés selon les trois catégories de situations suivantes, qui permettent d’aborder ces questions de façon systématique:

==> Responsabilité découlant d’une compétence explicitement donnée par la loi

Il s’agit notamment du cas visé dans la seconde partie de la définition, à savoir lorsque le responsable du traitement ou les critères spécifiques pour le désigner sont fixés par le droit national ou communautaire.

La désignation explicite du responsable du traitement par le droit n’est pas courante et ne présente généralement pas de grandes difficultés. Dans certains pays, le droit national prévoit que les pouvoirs publics assument la responsabilité du traitement des données à caractère personnel effectué dans le cadre de leurs fonctions

Il est cependant plus fréquent que la législation, plutôt que de désigner directement le responsable du traitement ou de fixer les critères de sa désignation, charge une personne, ou lui impose, de collecter et traiter certaines données.

Cela pourrait être le cas d’une entité qui se voit confier certaines missions publiques (par exemple, la sécurité sociale) ne pouvant être réalisées sans collecter au moins quelques données à caractère personnel, et qui crée un registre afin de s’en acquitter.

Dans ce cas, c’est donc le droit qui détermine le responsable du traitement. De façon plus générale, la loi peut obliger des entités publiques ou privées à conserver ou fournir certaines données. Ces entités seraient alors normalement considérées comme responsables de tout traitement de données à caractère personnel intervenant dans ce cadre.

==> Responsabilité découlant d’une compétence implicite

Il s’agit du cas où le pouvoir de déterminer n’est pas explicitement prévu par le droit, ni la conséquence directe de dispositions juridiques explicites, mais découle malgré tout de règles juridiques générales ou d’une pratique juridique établie relevant de différentes matières (droit civil, droit commercial, droit du travail, etc.).

Dans ce cas, les rôles traditionnels qui impliquent normalement une certaine responsabilité permettront d’identifier le responsable du traitement: par exemple, l’employeur pour les informations sur ses salariés, l’éditeur pour les informations sur ses abonnés, l’association pour les informations sur ses membres ou adhérents.

Dans tous ces exemples, le pouvoir de déterminer les activités de traitement peut être considéré comme naturellement lié au rôle fonctionnel d’une organisation (privée), entraînant au final également des responsabilités en matière de protection des données.

Du point de vue juridique, peu importe que le pouvoir de déterminer soit confié aux entités juridiques mentionnées, qu’il soit exercé par les organes appropriés agissant pour leur compte, ou par une personne physique dans le cadre de fonctions similaires.

==> Responsabilité découlant d’une influence de fait

Il s’agit du cas où la responsabilité du traitement est attribuée après une évaluation des circonstances factuelles. Un examen des relations contractuelles entre les différentes parties concernées sera bien souvent nécessaire.

Cette évaluation permet de tirer des conclusions externes, attribuant le rôle et les obligations de responsable du traitement à une ou plusieurs parties.

Il peut arriver qu’un contrat ne désigne aucun responsable du traitement mais qu’il contienne suffisamment d’éléments pour attribuer cette responsabilité à une personne qui exerce apparemment un rôle prédominant à cet égard. Il se peut également que le contrat soit plus explicite en ce qui concerne le responsable du traitement.

S’il n’y a aucune raison de penser que les clauses contractuelles ne reflètent pas exactement la réalité, rien ne s’oppose à leur application. Les clauses d’un contrat ne sont toutefois pas toujours déterminantes, car les parties auraient alors la possibilité d’attribuer la responsabilité à qui elles l’entendent.

Le fait même qu’une personne détermine comment les données à caractère personnel sont traitées peut entraîner la qualification de responsable du traitement, même si cette qualification sort du cadre d’une relation contractuelle ou si elle est expressément exclue par un contrat.

B) Les finalités et les moyens du traitement

La détermination des finalités et des moyens revient à établir respectivement le «pourquoi» et le «comment» de certaines activités de traitement.

Dans cette optique, et puisque ces deux éléments sont indissociables, il est nécessaire de donner des indications sur le degré d’influence qu’une entité doit avoir sur le «pourquoi» et le «comment» pour être qualifiée de responsable du traitement.

Lorsqu’il s’agit d’évaluer la détermination des finalités et des moyens en vue d’attribuer le rôle de responsable du traitement, la question centrale qui se pose est donc le degré de précision auquel une personne doit déterminer les finalités et les moyens afin d’être considérée comme un responsable du traitement et, en corollaire, la marge de manœuvre que la directive laisse à un sous-traitant.

Ces définitions prennent tout leur sens lorsque divers acteurs interviennent dans le traitement de données à caractère personnel et qu’il est nécessaire de déterminer lesquels d’entre eux sont responsables du traitement (seuls ou conjointement avec d’autres) et lesquels sont à considérer comme des sous-traitants, le cas échéant.

L’importance à accorder aux finalités ou aux moyens peut varier en fonction du contexte particulier dans lequel intervient le traitement.

Il convient d’adopter une approche pragmatique mettant davantage l’accent sur le pouvoir discrétionnaire de déterminer les finalités et sur la latitude laissée pour prendre des décisions.

Les questions qui se posent alors sont celle du motif du traitement et celle du rôle d’éventuels acteurs liés, tels que les sociétés d’externalisation de services: la société qui a confié ses services à un prestataire extérieur aurait-elle traité les données si le responsable du traitement ne le lui avait pas demandé, et à quelles conditions?

Un sous-traitant pourrait suivre les indications générales données principalement sur les finalités et ne pas entrer dans les détails en ce qui concerne les moyens.

S’agissant de la détermination des «moyens», ce terme comprend de toute évidence des éléments très divers, ce qu’illustre d’ailleurs l’évolution de la définition.

En effet, «moyens» ne désigne pas seulement les moyens techniques de traiter des données à caractère personnel, mais également le «comment» du traitement, qui comprend des questions comme «quelles données seront traitées», «quels sont les tiers qui auront accès à ces données», «à quel moment les données seront-elles effacées», etc.

La détermination des «moyens» englobe donc à la fois des questions techniques et d’organisation, auxquelles les sous-traitants peuvent tout aussi bien répondre (par exemple, «quel matériel informatique ou logiciel utiliser?»), et des aspects essentiels qui sont traditionnellement et intrinsèquement réservés à l’appréciation du responsable du traitement, tels que «quelles sont les données à traiter?», «pendant combien de temps doivent-elles être traitées?», «qui doit y avoir accès», etc.

Dans ce contexte, alors que la détermination de la finalité du traitement emporterait systématiquement la qualification de responsable du traitement, la détermination des moyens impliquerait une responsabilité uniquement lorsqu’elle concerne les éléments essentiels des moyens.

Dans cette optique, il est tout à fait possible que les moyens techniques et d’organisation soient déterminés exclusivement par le sous-traitant des données.

Dans ce cas, lorsque les finalités sont bien définies mais qu’il existe peu, voire aucune indication sur les moyens techniques et d’organisation, les moyens devraient représenter une façon raisonnable d’atteindre la ou les finalités, et le responsable du traitement devrait être parfaitement informé des moyens utilisés.

Si un contractant avait une influence sur la finalité et qu’il procédait au traitement (également) à des fins personnelles, par exemple en utilisant les données à caractère personnel reçues en vue de créer des services à valeur ajoutée, il deviendrait alors responsable du traitement (ou éventuellement coresponsable du traitement) pour une autre activité de traitement et serait donc soumis à toutes les obligations prévues par la législation applicable en matière de protection des données.