A chaque nouveau traitement de données à caractère personnel, la même question se pose : dois-je réaliser une analyse d’impact relative à la protection des données (AIPD) ou non ? Autrement dit, il faut se poser la question du niveau de risque que le projet de traitement va présenter pour les personnes concernées. Cette étape intervient après la détermination du périmètre du traitement.
Analyser le risque du traitement, c’est se demander à quel point le traitement qui est envisagé est susceptible de porter atteinte à la vie privée des personnes concernées, et quelles pourraient être les conséquences pour elles en cas d’incident de sécurité. Déterminer le niveau de risque du traitement revient à déterminer la procédure qui sera applicable:
- Une fiche registre, ce qui correspond à un traitement ne présentant pas de risque particulier ;
- Une analyse d’impact sur la protection des données (AIPD), ce qui correspond à un traitement présentant ou étant susceptible de présenter un risque élevé pour les personnes concernées.
Pour les structures publiques, il faudra également se demander si un acte réglementaire est nécessaire pour mettre en œuvre le traitement ou non, et si cet acte doit faire l’objet d’un avis préalable de la CNIL ou non. Le Règlement ne donne pas une liste de critères permettant de déterminer si tel traitement doit plutôt faire l’objet d’une fiche registre ou plutôt d’une AIPD : cet élément est à analyser de manière casuistique. Néanmoins, il existe plusieurs outils très fiables afin de déterminer ce niveau de risque, sous l’angle du type de documentation à compléter.
Tout d’abord, le RGPD prévoit en son article 35 quelques traitements pour lesquels une AIPD est obligatoire. Ensuite, la CNIL a publié deux listes de traitements pour lesquels une AIPD est requise, et pour lesquels une AIPD n’est pas requise. Ainsi, si le traitement envisagé se trouve dans l’une ou l’autre de ses listes, vous saurez immédiatement la documentation qui sera à compléter. Enfin, le Comité Européen sur la Protection des Données (CEPD), a établi une liste de 9 critères permettant de déterminer le niveau de risque du traitement envisagé. Il est habituellement considéré que si 2 critères sont remplis, réaliser une AIPD est fortement recommandé. Le Portail RGPD propose un outil automatisé se basant sur ces trois documents et permettant en quelques minutes de déterminer la procédure à suivre. Vous pouvez utiliser notre outil dédié (c’est gratuit!).
Cette infographie de la CNIL peut aussi être très utile :