AIPD : nouvelles responsabilités du responsable traitement

BLOG / Droit des affaires et des sociétés

Quelles sont les obligations du responsable de traitement ?

Depuis le 25 mai 2018, le RGPD a introduit un nouvel outil de mise en conformité à l'attention des responsables de traitement : l'AIPD. L'analyse d'impact relative à la protection des données doit impérativement être mise en place lorsque le traitement engendre un risque élevé pour les droits et les libertés des personnes. Explication et décryptage complet de cette nouvelle mesure.

Gestion des risques : réalisation de l’analyse d’impact relative à la protection des données (AIPD)

Lorsqu’un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable de traitement effectue, avant le traitement, une AIPD du traitement envisagé sur la protection des données personnelles.

Que doit contenir d'AIPD ?

  • Une description systématique du traitement envisagé et des finalités, y compris, le cas échéant, l’intérêt légitime poursuivi par le responsable de traitement ;
  • Une valuation de la nécessité et de la proportionnalité du traitement au regard des finalités ;
  • Les mesures envisagées pour faire face aux risques, y compris les garanties et mécanismes de sécurité visant à assurer la protection des données personnelles et à apporter la preuve du respect du RGPD.

3 cas dans lesquels l’AIPD est obligatoire

  • En cas d’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques fondés sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire ;
  • Pour le traitement à grande échelle de données « sensibles » ou de données personnelles relatives à des condamnations pénales et à des infractions ;
  • Lors de la surveillance systématique à grande échelle d’une zone accessible au public.
Le RGPD précise que la CNIL établit et publie une liste des types de traitement pour lesquelles une analyse d’impact est requise et une autre pour laquelle une AIPD n’est pas nécessaire, après consultation pour avis du Comité européen de la protection des données (CEPD) (ancien G29) composé d’un représentant de chaque autorité de contrôle européenne.

La CNIL a précisé dans son Guide d’avril 2018 à télécharger en PDF qu’une AIPD est nécessaire avant de commencer le traitement si 2 critères sur 9 sont retenus à savoir :
  • L’évaluation d’aspects personnels ou notation d’une personne (exemple : scoring financier) ;
  • Une prise de décision automatisée ;
  • La surveillance systématique de personnes (exemple : télésurveillance) ;
  • Le traitement de données sensibles (exemple : santé, biométrie…) ;
  • Le traitement de données de personnes vulnérables (exemple : les mineurs) ;
  • Le traitement à grande échelle de données personnelles ;
  • Le croisement d’ensembles de données ;
  • Des usages innovants ou l’application de nouvelles technologies (exemple : objet connecté) ;
  • L’exclusion du bénéfice d’un droit, d’un service ou contrat.
Le responsable de traitement devra consulter la CNIL pour avis en cas de difficultés à identifier les mesures suffisantes pour réduire les risques du traitement envisagé à un niveau acceptable.
Pour en savoir plus, consultez le règlement (UE) 2016/679 du 27 avril 2016, art. 35 et 36.

L'obligation de notification à la CNIL des failles de sécurité impactant des données personnelles

Tout responsable de traitement, quel que soit son secteur d’activité, a l’obligation de notifier à l’autorité de contrôle (la CNIL en France) toute violation de données personnelles.
Une violation de données personnelles est une faille de sécurité entraînant, de manière accidentelle ou illicite :
  • la destruction,
  • la perte,
  • l'altération,
  • la divulgation non autorisée de données personnelles transmises, conservées ou traitées d'une autre manière,
  • l'accès non autorisé à des données personnelles.
Cette notification à la CNIL s’effectue dans les meilleurs délais et si possible 72 heures au plus tard après en avoir pris connaissance. Au-delà des 72 heures, le responsable de traitement doit justifier son retard. Le sous-traitant doit notifier au responsable de traitement toute violation de données personnelles dans les meilleurs délais, après en avoir pris connaissance.

En cas de risque élevé, obligation de communication de la violation à la personne concernée dans les meilleurs délais. Le risque est élevé pour les droits et libertés d’une personne physique s’il entraîne des conséquences préjudiciables relatives à :
  • la confidentialité,
  • la disponibilité,
  • l’intégrité des données personnelles.

3 exceptions à la communication à la personne concernée

  • Le responsable de traitement a mis en œuvre des mesures de protection techniques et organisationnelles appropriées en particulier, celles qui rendent les données personnelles incompréhensibles pour toute personne qui n’est pas autorisée à y avoir accès, telles que le chiffrement ;
  • Le responsable de traitement a pris des mesures ultérieures qui garantissent que le risque élevé pour les pour les droits et libertés des personnes concernées n’est plus susceptible de se matérialiser ;
  • La communication exigerait des efforts disproportionnés. Il est plutôt procédé à une communication publique ou à une mesure similaire permettant aux personnes concernées d’être informées de manière tout aussi efficace.
Toutefois, la CNIL peut, après examen de la violation, exiger du responsable de traitement qu’il en informe la personne concernée.

Le projet de loi sur la protection des données personnelles adopté en lecture définitive à l’Assemblée Nationale le 14 mai 2018 prévoit qu’un décret en Conseil d’Etat pris après avis de la CNIL fixe la liste des traitements dérogeant au droit de communication de la violation des données personnelles à la personne concernée lorsque cette communication d’une divulgation ou d’un accès non autorisé aux données est susceptible de représenter un risque pour la sécurité nationale, la défense nationale ou la sécurité publique.

Action de mise en conformité

Process interne à prévoir par l’entité en cas de violation de données personnelles.

Obligation de tenue d’un registre des traitements pour le responsable de traitement et le sous-traitant

Le RGPD impose au responsable de traitement et au sous-traitant de tenir un registre des traitements. Cette obligation concerne toute entreprise ou organisation comptant plus de 250 employés. Toutefois, l’entreprise y est tenue, lorsqu’elle compte moins de 250 salariés si :
  • le traitement est susceptible de comporter un risque pour les droits et les libertés des personnes concernées,
  • le traitement n’est pas occasionnel (ex : gestion du personnel, gestion clients…),
  •  s’il porte notamment sur des données « sensibles » ou des données relatives à des condamnations pénales ou à des infractions.
En pratique, ce registre des traitements est nécessaire pour avoir une bonne visibilité des traitements et ce quelle que soit l’entreprise.

Quelles sont les informations à indiquer dans le registre des traitements ?

  • Nom et coordonnées du responsable de traitement ; 
  • Nom et coordonnées du DPO ;
  • Finalités du traitement ;
  • Catégories de personnes concernées ;
  • Catégories de données personnelles traitées ;
  • Catégories de destinataires des données ;
  • Indication des transferts de données personnelles vers un pays tiers ou une organisation internationale ainsi que des documents attestant de l’existence de garanties appropriées ;
  • Durée de conservation des données traitées ;
  • Description générale des mesures de sécurité techniques ou organisationnelles prévues ;
  • Indication de la base juridique du traitement.
Ce registre est mis à la disposition de la CNIL sur demande. Tout responsable de traitement et sous-traitant doivent documenter leur mise en conformité au RGPD.

Actions de mise en conformité

Réaliser une cartographie (inventaire) des traitements et audit des traitements.

L'obligation de sécurité des données est renforcée

Respect du contrat de sous-traitance : assistance, alerte et conseil

Le contrat entre un responsable de traitement et un sous-traitant doit notamment contenir :

  • L’objet,
  • La durée,
  • La nature,
  • La finalité du traitement,
  • Le type de données personnelles,
  • Les catégories de personnes concernées,
  • Les obligations et droits du responsable de traitement, les instructions documentées du responsable de traitement y compris, s’agissant des transferts de données vers un pays tiers ou une organisation internationale (le sous-traitant doit obtenir l’autorisation écrite préalable du responsable de traitement s’il souhaite faire appel à un autre sous-traitant) ; réalisation d’audits ;
  • Les obligations du sous-traitant : obligations de sécurité et de confidentialité, obligations d’information, d’assistance, d’alerte en cas de violation de données personnelles et de conseil dans le cadre de l’analyse d’impact, obligations en fin de contrat, documentation pour démontrer le respect de ses obligations.

Action de mise en conformité

Prévoir une révision des contrats de sous-traitance.

Obligation de tenue du registre des activités de traitement

Le sous-traitant doit établir et mettre à jour outre son propre registre des traitements (cf ci- dessus), un registre des activités de traitement effectuées pour le compte de ses clients. Les informations du registre sont indiquées ci-dessous :
  • Informations relevant du registre des activités de traitement
  • Nom et coordonnées du sous-traitant, du représentant du sous-traitant,
  • Nom et coordonnées de chaque client pour le compte duquel le sous-traitant traite des données,
  • Nom et coordonnées du DPO,
  • Nom e coordonnées de chaque sous-traitant ultérieur,
  • Catégories de traitements effectués pour le compte de chaque client responsable de traitement,
  • Indication des transferts de données personnelles vers des pays tiers ou une organisation internationale et les documents attestant de l’existence de garanties appropriées,
  • Description générale des mesures de sécurité techniques et organisationnelles mises en place.
Pour en savoir plus, consultez le Règlement (UE) 2016/679 du 27 avril 2016, 30.

Découvrez notre offre de formation sur le thème Risques et conformité de l'entreprise.
 

Formations en droit des affaires et des sociétés

Formation

Règlement européen « Données personnelles » (RGPD) : être en conformité 

Réforme de la formation 2018

Agréé auprès du ministère du Travail
pour les informations CE (arrêté n°99-469 du 29/03/99)

Agréé auprès du Préfet de Région pour
les formations CHSCT (arrêté n°2003-2254 du 28/10/03)

Consultants en formations certifiés
Kirkpatrick four levels°niveau bronze