Page d'accueil etic avocat

Fiches pratiques

RGPD & NTIC

RGPD, que faire en cas de contrôle de la CNIL

RGPD, que faire en cas de contrôle de la CNIL

Publié le 27/Juin/2023 par Fabien DREY

RGPD, que faire en cas de contrôle de la CNIL
Intéressé par nos prestations ?

L’analyse d’impact est-elle obligatoire ?

L’article 35 du règlement 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, dit « RGPD », prévoit la réalisation d’une analyse d’impact (ou Privacy Impact Assessment (PIA)) sur la protection des données à caractère personnel lorsqu’un traitement de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées

Dans quels cas existe-t-il un « risque élevé » ? 

La gravité du risque doit être analysée au regard des conséquences vraisemblables sur les personnes dont les données personnelles ont été collectées. 

La notion de risque élevé visée par le RGPD semble recouvrir les situations suivantes : 

  •   Accès non autorisé aux données personnelles ; 
  •   Modification non autorisée des données personnelles ; 
  •   Disparition des données personnelles

A l’heure actuelle, la définition précise de la notion de « risque élevé » reste relativement floue. 

L’article 35 du RGPD décrit plusieurs situations dans lesquelles une analyse d’impact sera nécessaire : 

  • « L’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire ; 
  •  Le traitement à grande échelle de catégories particulières de données visées à l’article 9, paragraphe 1 [données dites « sensibles »], ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10 ; ou 
  • La surveillance systématique à grande échelle d’une zone accessible au public ». 
  • Ce même article prévoit également que les autorités de contrôle, à savoir la CNIL en France, peuvent établir des listes recensant : 
  • Les types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données personnelles est requise ; 
  • Les types d’opérations de traitement pour lesquelles aucune analyse d’impact relative à la protection des données personnelles n’est requise. 

Tant que ces listes n’ont pas été éditées, il semblerait plus sécurisant pour les entreprises d’établir une analyse d’impact pour chaque traitement pouvant entrer dans le champ de l’article 35 du RGPD

Il convient par ailleurs de noter qu’il sera dans un premier temps nécessaire de se référer aux travaux du G29 a édicté ses lignes directrices concernant la réalisation des DPIA.  

Ces lignes directrices sont accessibles en cliquant sur le lien suivant (lien). 

Qu’est-ce qu’une analyse d’impact ? 

Afin d’évaluer les risques afférents à un traitement de données personnelles, l’analyse d’impact se décompose en deux temps : 

  •   D’abord, une évaluation du système de traitement actuel basée sur une analyse comparative avec les principes et droits fondamentaux (finalités, durée de conservation des données, droits des personnes…) ; 
  •   Ensuite, une étude des risques sur la sécurité des données (abus, accès aux données personnelles, disparition des données…). 

Une seule analyse d’impact est suffisante lorsque plusieurs traitements similaires et présentant les mêmes risques sont réalisés par une entité. 

En application de l’article 35 du RGPD, l’analyse d’impact doit contenir au moins : 

  •   « Une description systématique des opérations de traitement envisagées et des finalités du traitement, y compris, le cas échéant, l’intérêt légitime poursuivi par le responsable de traitement ; 
  •   Une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités ; 
  •   Une évaluation des risques pour les droits et libertés des personnes concernées (…) ; et 
  •   Les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du présent règlement, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes affectées ». 

La CNIL a par ailleurs mis en ligne un logiciel gratuit permettant de réaliser son analyse d’impact sur la protection des données personnelles(PIA)

Cet outil permet ainsi au Responsable de Traitement de soumettre au DPO l’analyse d’impact effectuée.  

Notre cabinet d’avocats dispose d’autres outils complémentairefs et de partenariats afin de réaliser ce type de documentation et vous accompagner dans votre mise en conformité RGPD

Aller plus loin

RGPD, quelles sont les nouveautés

RGPD, quelles sont les nouveautés

Publié le 27 juin 2023

RGPD, le registre des traitements

RGPD, le registre des traitements

Publié le 27 juin 2023

RGPD, l’analyse d’impact

RGPD, l’analyse d’impact

Publié le 27 juin 2023