L’AIPD, que l’on trouve également sous la dénomination Etude d’Impact sur la Vie Privée (EIVP) ou encore Privacy Impact Assessment (PIA), est un dispositif prévu par l’article 35 du RGPD. Aux termes de cet article, une étude d’impact doit obligatoirement être effectuée dès lors qu’un traitement sur des données personnelles est susceptible de présenter un risque élevé pour les droits et libertés des personnes concernées.
Ce nouvel outil revête donc une importance particulière dans la responsabilisation des organismes concernant le respect de la vie privée des internautes. Il permettra notamment aux entreprises de pouvoir justifier de leur conformité au RGPD.*
Qu’entend-on par risque sur la vie privée ?
Le risque élevé pour les droits et libertés des personnes concernées est un élément phare du RGPD. Il est le critère absolu d’engagements de procédures, notamment lors de la notification de violation de données personnelles.
Aucune définition précise de ce qu’est un « risque élevé » n’est donnée dans le Règlement. Un début de réponse est donné dans les considérants n°75, 76 et 85 du règlement. Généralement, on considère que le risque élevé est présent dès lors que les données personnelles pourraient faire l’objet d’une subtilisation, d’une modification ou encore d’une destruction.
L’évaluation des risques doit être réalisées par le DPO qui examinera l’étendu de la gravité et de la probabilité de survenance des conséquences que pourrait entraîner ce traitement pour les personnes concernées.
Quand est-ce QUE L’AIPD EST obligatoire ?
L’AIPD n’est pas systématique. Sa réalisation est obligatoire dans le cas où le traitement entraîne un risque élevé pour la vie privée.
Le troisième paragraphe de l’article 35 nous donne les cas où cette analyse devient impérative :
- Les traitements à grand échelle de données sensibles (département / région / pays) ;
- Les surveillances systématiques à grande échelle d’une zone accessible au public ;
- L’évaluation systématique et approfondie d’aspects personnels, y compris le profilage ;
- L’activité automatisée dont le but est d’évaluer systématiquement et de manière approfondie, les aspects personnels de personnes sur lesquelles des décisions sont prises en entraînant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire.
Pour plus de clarté, vous pouvez vous consulter la liste établie par la CNIL.
Sous quelle forme doit se présenter l’AIPD ?
L’AIPD se divise en trois parties distinctes :
- Une description détaillée du traitement mis en œuvre, comprenant tant les aspects techniques qu’opérationnels
- L’évaluation, de nature plus juridique, de la nécessité et de la proportionnalité concernant les principes et droits fondamentaux (finalité, données et durées de conservation, information et droits des personnes, etc.) non négociables, qui sont fixés par la loi et doivent être respectés, quels que soient les risques ;
- L’étude, de nature plus technique, des risques sur la sécurité des données (confidentialité, intégrité et disponibilité) ainsi que leurs impacts potentiels sur la vie privée, qui permet de déterminer les mesures techniques et organisationnelles nécessaires pour protéger les données.
qui est en charge de l’AIPD ?
La personne habilitée à réaliser l’analyse doit être désignée par le DPO.
Et dans la pratique, ça donne quoi ?
Maintenant que vous savez ce qu’est une AIPD, il est essentiel d’aborder la question de sa mise en œuvre !
De nombreux logiciels existent sur le marché. Véritable gain de temps, ces logiciels sont là pour vous faciliter la tâche et garantir la conformité des traitements au RGPD. Certains sont gratuits, d’autres sont payants, avec chacun leurs avantages et leurs inconvénients.
La CNIL a même développé son propre logiciel open source PIA destiné aux débutants. Vous pouvez retrouver le processus en détails ici[2].
Conclusion
A partir du 25 mai 2021, tout traitement de données personnelles engendrant un risque élevé pour les droits et libertés de la personne concernées sera obligatoirement soumis à une Analyse d’Impact sur la Protection des Données. Cette analyse devra respecter le cadre prévu par le RGPD. Vous pouvez retrouver tous les détails et explications du process sur le site de la CNIL. N’hésitez pas à utiliser les logiciels mis à votre disposition.
L’obligation de mettre en place une AIPD ne vient que conforter l’application effective du RGPD. Votre entreprise doit veiller à rendre l’intégralité de ces traitements conforme au Règlement sous peine de recevoir une sanction.
—
—
Chez Garoé Avocats nous travaillons en synergie avec les membres de notre écosystème, partenaires, clients et entreprises passionnés qui ont besoin de notre assistance technique et de notre expertise dans de nombreux domaines.
Si vous souhaitez en discuter avec nous, n’hésitez pas à nous contacter via notre page contact ou par mail à contact@garoe-law.com .