Grâce à notre outil, déterminez rapidement si vous devez réaliser une AIPD !

A chaque nouveau traitement de données à caractère personnel, la même question se pose : dois-je réaliser une analyse d’impact relative à la protection des données (AIPD) ou non ? Autrement dit, il faut se poser la question du niveau de risque que le projet de traitement va présenter pour les personnes concernées. Cette étape intervient après la détermination du périmètre du traitement.
Analyser le risque du traitement, c’est se demander à quel point le traitement qui est envisagé est susceptible de porter atteinte à la vie privée des personnes concernées, et quelles pourraient être les conséquences pour elles en cas d’incident de sécurité. Déterminer le niveau de risque du traitement revient à déterminer la procédure qui sera applicable:

  • Une fiche registre, ce qui correspond à un traitement ne présentant pas de risque particulier ;
  • Une analyse d’impact sur la protection des données (AIPD), ce qui correspond à un traitement présentant ou étant susceptible de présenter un risque élevé pour les personnes concernées.

Pour les structures publiques, il faudra également se demander si un acte réglementaire est nécessaire pour mettre en œuvre le traitement ou non, et si cet acte doit faire l’objet d’un avis préalable de la CNIL ou non. Le Règlement ne donne pas une liste de critères permettant de déterminer si tel traitement doit plutôt faire l’objet d’une fiche registre ou plutôt d’une AIPD : cet élément est à analyser de manière casuistique. Néanmoins, il existe plusieurs outils très fiables afin de déterminer ce niveau de risque, sous l’angle du type de documentation à compléter.

Tout d’abord, le RGPD prévoit en son article 35 quelques traitements pour lesquels une AIPD est obligatoire. Ensuite, la CNIL a publié deux listes de traitements pour lesquels une AIPD est requise, et pour lesquels une AIPD n’est pas requise. Ainsi, si le traitement envisagé se trouve dans l’une ou l’autre de ses listes, vous saurez immédiatement la documentation qui sera à compléter. Enfin, le Comité Européen sur la Protection des Données (CEPD), a établi une liste de 9 critères permettant de déterminer le niveau de risque du traitement envisagé. Il est habituellement considéré que si 2 critères sont remplis, réaliser une AIPD est fortement recommandé. Le Portail RGPD propose un outil automatisé se basant sur ces trois documents et permettant en quelques minutes de déterminer la procédure à suivre. Vous pouvez utiliser notre outil dédié (c’est gratuit!).

Cette infographie de la CNIL peut aussi être très utile :

Comment interpréter les critères du CEPD ?


Les seuls éléments développés ci-dessous ne sont souvent pas suffisants. Chacun des critères du CEPD est sujet à interprétation, ou nécessite d’avoir des connaissances précises. Dans cette partie, vous trouverez quelques clefs vous permettant de comprendre ces 9 critères.

  1. Traitement réalisé à large échelle : Ce critère doit être analysé de manière absolue ou par rapport à la population envisagée. Ainsi, il peut être considéré que traiter les données de 90% des personnes d’une population de 100 personnes est un traitement à large échelle.

  2. Données sensibles ou hautement personnelles : Pour analyser ce critère, il faut se reporter à l’article 9 du RGPD. Il s’agit de données ethniques ou raciales, politiques, philosophiques, religieuses, syndicales, de santé, biométriques, génétiques. Il s’agit également de données financières ou pénales.

  3. Personnes vulnérables : Il faut analyser le rapport de force existant entre le responsable du traitement est la personne concernée. Dès lors que le responsable de traitement est en situation d’autorité, les personnes concernées seront considérées comme vulnérables. Il peut s’agir de patients, de personnes âgées, d’enfants, d’employés sous l’autorité de leur employeur, etc..

  4. Evaluation, scoring ou profilage : Ce critère signifie que le traitement vise ou permet l’analyser de la personne, de son profil. Quelques exemples : traitements portant notamment sur des « aspects concernant le rendement au travail de la personne concernée, sa situation économique, sa santé, ses préférences ou centres d’intérêt personnels, sa fiabilité ou son comportement, ou sa localisation et ses déplacements » (considérants 71 et 91 du RGPD).

  5. Surveillance systématique : Le traitement vise ou permet la surveillance systématique d’une personne. Ce critère est considéré comme rempli même si cette surveillance systématique est réalisée sur une « zone accessible au public » (article 35 du RGPD – dans ce cas, réaliser une AIPD est d’ailleurs obligatoire). Par exemple, tel peut être le cas avec des outils de surveillance des employés en télétravail.

  6. Décision automatique avec effet légal ou similaire : Sont concernés les traitements qui ont pour finalité de discriminer les personnes sur la base, par exemple, de critères prédéfinis et appliqués de manière automatique. Selon l’article 35 du RGPD, il faut que le traitement produise « des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire ».

  7. Croisement de données : Dès lors que plusieurs jeux de données sont croisés, il faut considérer que ce critère est rempli. Tel est le cas, à fortiori, si les deux jeux de données proviennent de traitements différents.

  8. Utilisation ou application de nouvelles solutions technologiques ou organisationnelles : Selon le RGPD, ce critère doit être entendu comme l’utilisation d’une nouvelle technologie en « conformité avec l’état des connaissances technologiques » (considérant 91). Ce critère est le pendant de « l’état de l’art » en matière de sécurité informatique. L’idée est que la nouvelle technologie peut impliquer de nouvelles formes de traitement, avec lesquelles les personnes concernées ne sont pas forcément familières. Dans ses lignes directrices, le CEPD donne comme exemple « l’utilisation combinée de systèmes de reconnaissance des empreintes digitales et de reconnaissance faciale pour améliorer le contrôle des accès physiques ».

  9. Exclusion de l’exercice d’un droit ou de bénéficier d’un service ou d’un contrat : Ce dernier critère implique que le traitement, en lui-même, est de nature à empêcher les personnes d’exercer ce droit ou de bénéficier d’un service ou d’un contrat. Le CEPD donne comme exemple « la banque passant ses clients au crible d’une base de données de côte de crédit avant d’arrêter ses décisions d’octroi de prêt ».
Retour en haut