Logo du cabinet Mathias avocat : image cliquable pour retourner à la page d'accueil
AIPD : fin de la dispense accordée par la Cnil
21 avril 2021

A compter du 25 mai 2021, la réalisation d’une analyse d’impact relative à la protection des données (AIPD) devient obligatoire pour tous les traitements lorsque les conditions prévues par le Règlement général sur la protection des données (RGPD) sont réunies.

Pour rappel, la Commission nationale de l’informatique et des libertés (Cnil) avait prévu, pour une période de trois ans, une exonération à l’obligation de réaliser une AIPD pour certains traitements mis en œuvre avant l’entrée en application du RGPD qui n’avaient pas fait l’objet de modifications significatives, à savoir les traitements :

  • ayant fait l’objet d’une formalité préalable (par exemple, un engagement de conformité à une autorisation unique adoptée par la Cnil) ou dispensés de formalité préalable,
  • ayant été consignés au registre du Correspondant Informatique et Libertés.

Pourquoi une AIPD ? De quoi s’agit-il ?

Le RGPD ne définit pas expressément la notion d’AIPD.

Toutefois, il prévoit que le responsable du traitement est tenu d’effectuer une analyse d’impact lorsque « le traitement (…) est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques » (article 35, 1 du RGPD). L’AIPD doit comporter plusieurs éléments, et notamment la description des opérations de traitement, l’évaluation de leur nécessité et de leur proportionnalité, l’évaluation des risques et les mesures envisagées pour faire face à ces risques (article 35, 7 du RGPD).

Ainsi, l’AIPD est un processus mis en œuvre par le responsable du traitement afin d’évaluer et de gérer les risques présentés par un traitement de données à caractère personnel. Constituant un outil important au regard du principe de responsabilité (accountability), l’analyse d’impact permet au responsable du traitement de s’assurer que les exigences de RGPD ont été prises en compte.

A noter que lorsque le niveau de risque reste élevé à la fin de cette démarche de conformité, le responsable du traitement doit transmettre son AIPD à la Cnil (article 36 du RGPD).

Quels sont les traitements concernés ?

L’un des enjeux est de pouvoir déterminer si le traitement envisagé présente un risque élevé pour les droits et libertés des personnes concernées. A ce titre, les autorités de contrôle européennes précisent qu’une AIPD est nécessaire lorsqu’au moins deux des critères suivants sont remplis :

  • l’évaluation ou le scoring, y compris le profilage,
  • la prise de décision automatisée,
  • la surveillance systématique,
  • le traitement de données sensibles ou données à caractère hautement personnel,
  • le traitement de données à large échelle,
  • le croisement de données,
  • le traitement de données se rapportant aux personnes vulnérables (patients, personnes âgées, mineurs, salariés, etc.) ;
  • l’utilisation d’une nouvelle technologie,
  • l’exclusion du bénéfice d’un droit ou d’un contrat.

A quel moment réaliser une AIPD ?

L’AIPD doit être effectuée avant la mise en œuvre du traitement. Ainsi, elle répond également aux principes de privacy by design et de privacy by default. Elle a pour vocation de permettre au responsable du traitement d’élaborer des mesures protectrices avant même la mise en œuvre du traitement.

Concernant les traitements qui bénéficiaient de l’exonération prévue par la Cnil, il convient de noter que l’AIPD sera réalisée au cours de leur mise en œuvre. Dans ce contexte, les résultats de cette analyse pourraient amener les responsables des traitements concernées à revoir les conditions de leur mise en œuvre.

Quelles sont les questions à se poser avant de faire une AIPD ?

L’élaboration d’une AIPD nécessite de mettre en place une organisation d’un point de vue pratique et opérationnel. Ainsi, Mathias Avocats met à votre disposition une liste non exhaustive des éléments à prendre en compte avant la mise en œuvre d’une AIPD.

AIPD

Quels outils pour une AIPD ?

La Cnil a mis en place un logiciel open source dit PIA afin d’aider les responsables du traitement dans l’élaboration de leur AIPD.

D’autres autorités de contrôle ont également mis en place des guides ou recommandations. Par exemple, l’autorité de contrôle au Royaume-Uni (Information Commissioner’s Office ou ICO) a mis en ligne un questionnaire qui recense les points clés à considérer lors d’une AIPD. L’autorité de contrôle belge (Autorité de protection des données) a quant à elle publié une recommandation relative à la réalisation d’une AIPD à destination des entités.

Quelles mesures ou sanctions en cas de manquement aux obligations relatives à l’AIPD ?

Pour rappel, à l’instar des autres obligations, l’absence ou l’incomplétude de l’AIPD peut faire l’objet d’une mise en demeure prononcée par la Présidente de la Cnil et/ou d’une sanction prononcée par la formation restreinte. Concernant la sanction financière, cette dernière peut s’élever à 10 000 000 € ou jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent (article 83 du RGPD).

Il convient de noter que les obligations relatives à la réalisation de l’AIPD ont fait l’objet de très peu de décisions ou de sanctions. Dans ce contexte, les modalités d’appréciation d’une AIPD par une autorité de contrôle ne sont pas connues à date.

A titre d’exemple, dans sa décision n°MED-2020-015 du 15 juillet 2020, la Présidente de la Cnil a mis en demeure le ministère des solidarités et de la santé. Dans le cadre de cette décision, il a été relevé que l’AIPD réalisée pour le traitement mis en œuvre dans le cadre de l’application anciennement dénommée StopCovid était incomplète. En effet, la description du traitement relatif à la mise en œuvre d’une solution de sécurité n’apparaissait pas dans l’AIPD réalisée par le ministère.

Mathias Avocats reste à votre disposition pour vous accompagner dans votre mise en conformité et dans l’élaboration d’une AIPD.