L'autorité française de protection des données - appelée en bref la "CNIL" - vient de publier le 22 novembre 2017 un outil gratuit pour aider les entreprises dans le processus d'évaluation des incidences sur la vie privée. Cette initiative intervient dans un contexte où la date limite de mise en œuvre du RGPD est proche (mai 2018) et où les entreprises ont encore du mal à se mettre en conformité. L'évaluation des incidences sur la vie privée fait partie des différentes mesures à prendre à cet égard, mais elle n'est pas la plus facile à comprendre.
Le PIA découle de l'article 35 du RGPD qui stipule que cette procédure est obligatoire pour le responsable du traitement si l'utilisation des données personnelles induit un "risque élevé pour les droits et libertés des personnes physiques". Cette notion n'est pas définie par le GDPR, qui donne cependant des exemples de cas où un tel risque existe : en cas (i) d'évaluation systématique et étendue des aspects personnels menant à des décisions, (ii) d'utilisation de données sensibles à grande échelle, ou (iii) de surveillance systématique d'une zone accessible au public à grande échelle. Chaque autorité nationale de protection des données peut en outre publier des listes positives et négatives d'utilisations qui nécessitent ou non une évaluation des risques.
{{discover-didomi-for-compliance}}
L'objet de l'ÉFVP peut être une ou plusieurs opérations car il peut s'agir d'un produit tel qu'un élément de matériel ou de logiciel.
Quel est l'objectif d'une ÉFVP et que doit-elle contenir ?
Comme le souligne le groupe de travail "Article 29" dans ses lignes directrices, une évaluation des incidences sur le développement durable "est un processus conçu pour décrire le traitement, évaluer la nécessité et la proportionnalité d'un traitement et aider à gérer les risques". Elle permet aux entreprises de vérifier - et de prouver en cas de contrôle - qu'elles ont pris les mesures de conformité appropriées. Pour ce faire, l'AIP doit nécessairement contenir la description des opérations sur les données personnelles, une évaluation de la nécessité et de la proportionnalité de celles-ci, une évaluation des risques pour les personnes physiques, et les mesures envisagées pour faire face aux risques et démontrer la conformité. Différentes méthodes existent, dont la méthodologie publiée par la CNIL, mais aussi les cadres allemand et espagnol (entre autres).
Si l'évaluation d'impact sur le public montre que les opérations entraînent toujours un risque élevé en l'absence de mesures d'atténuation, mais que ces mesures s'avèrent déraisonnables "en termes de technologies disponibles et de coûts de mise en œuvre", l'autorité de protection des données doit être consultée.
Quelles sont les lignes directrices du groupe de travail "Article 29"?
Les lignes directrices du groupe de travail "Article 29" soulignent également certains points qui sont en pratique loin d'être anecdotiques :
- Les EFVP sont nécessaires pour les opérations créées après mai 2018 ou dont les risques ou le contexte changent de manière significative après cette date ;
- Ils doivent être réévalués après 3 ans maximum ;
- Il incombe à chaque entreprise de pouvoir démontrer qu'une opération envisagée ne nécessite pas d'évaluation des incidences sur l'environnement ;
- Il est recommandé de publier tout ou partie de l'EFVP "afin de contribuer à renforcer la confiance dans les opérations de traitement du responsable du traitement, et de faire preuve de responsabilité et de transparence".
Vous voulez en savoir plus ?
{{request-a-demo}}