RGPD 2018 : Pourquoi et comment mener une analyse d’impacts ?
La conduite d’analyses d’impacts est une des nouvelles exigences du RGPD. Voici quelques explications pour comprendre l’utilité de ces analyses et bien les réaliser.
L’analyse d’impacts est une nouvelle obligation instaurée par le RGDP qui impose aux structures de mener une étude des risques menaçant les droits et libertés des utilisateurs dont les données sont collectées.
Une analyse d’impacts bien menée vous permettra à la fois de vous mettre en conformité, mais aussi de vous questionner sur l’efficience de votre traitement des données.
Mais en quoi consiste réellement une analyse d’impacts ?
Et comment la réaliser dans les règles de l’art ?
A quoi sert l’analyse d’impacts ?
Il s’agit d’un des outils les plus importants du RGPD visant à responsabiliser les structures. L’analyse d’impacts permet en effet de se questionner sur les risques encourus par les utilisateurs lors du traitement de leurs données, mais aussi de déterminer si ce traitement est conforme au RGPD.
En évaluant ces risques, les structures sont encouragées à mettre en place des mesures de traitement de données plus respectueuses de la vie privée des personnes concernées. C’est donc un outil efficace pour apprécier la pertinence et la légitimité de la collecte des données, deux axes principaux du RGPD.
L’analyse d’impacts permet en effet d’apprécier la corrélation entre les principes du RGPD et le traitement des données à un niveau global. Elle permet aussi de déterminer les risques portant sur la sécurité des données afin de mettre en œuvre une protection adéquate. On peut distinguer deux types d’analyse d’impacts : juridique et technique.
Analyse des risques juridiques.
Cette fonction de l’analyse d’impacts permet d’évaluer la nécessité du traitement et la proportionnalité des risques par rapport aux droits fondamentaux.
L’objectif est de permettre à l’entreprise de visualiser la corrélation entre les opérations de traitement qu’elle effectue et les risques que ces opérations impliquent.
Ainsi, en se basant sur les réglementations non négociables à respecter (finalités des traitements, types de données, durées de conservation…), la structure peut revoir l’intérêt de procéder aux traitements des données.
Il est alors question de mesurer précisément la gravité et la vraisemblance des risques, pour la structure comme pour l’utilisateur dont les données sont traitées.
En mettant en perspective les apports des opérations de traitement avec les risques encourus, la structure est amenée à prendre ses responsabilités et à opter pour un traitement plus modéré et respectueux de la vie privée de l’utilisateur.
Analyse des risques techniques
Cette dimension de l’analyse d’impacts est vouée à étudier les risques techniques portant sur la sécurité des données. Doivent être étudiés les risques portant sur les accès non autorisés, les potentielles modifications et disparitions de données et les impacts de ces risques sur la vie privée de l’utilisateur.
La structure est ensuite à même de déterminer les mesures techniques et organisationnelles qui permettront de protéger efficacement les données.
Comment mener une analyse d’impacts ?
Le responsable du traitement des données est chargé des analyses d’impact. Il appartient en revanche au DPO de vérifier que celles–ci ont bien été effectuées, et de conseiller la structure quant à la mise en œuvre de cette analyse.
Le RGPD ne donne pas de processus normatif « tout fait » pour réaliser une analyse d’impacts. Cependant, en interprétant ce nouveau règlement, on peut en conclure que l’analyse d’impacts doit porter sur au moins quatre axes principaux.
1- Questionner les finalités du traitement
L’analyse d’impacts doit mettre en exergue les finalités des opérations de traitements des données. Il s’agit de souligner leur intérêt, leur légitimité et leur pertinence, et de les mettre en perspective avec les risques.
La structure doit se poser les bonnes questions, dans une optique de responsabilisation : Pourquoi collecter des données personnelles ? Dans quel but ? Cela est-il nécessaire au bon fonctionnement de la structure ?
2- Étudier l’adéquation entre le traitement et ses finalités
Ici, l’objectif est davantage de questionner l’adéquation entre le traitement de données et ses finalités. Est-ce que les volumes traités sont proportionnels aux finalités de l’opération ? Est-ce que chaque donnée collectée est nécessaire ? Pour rappel, le RGPD prône la minimisation des données et leur pertinence.
3- Identifier les risques
L’analyse d’impacts amène ensuite à se pencher sur l’aspect sécurité. La structure doit se demander en quoi son traitement des données peut porter atteinte aux libertés et droits des personnes.
Les données sont-elles sensibles ? Discriminatoires ? Peuvent-elles nuire à l’utilisateur ? Quels sont les risques encourus par les cibles du traitement dans le cas où l’on ferait un mauvais usage de leurs données ?
4- Déterminer les mesures de protection adaptées
Enfin, l’analyse d’impacts doit conduire à envisager des mesures de protection permettant de maitriser ces risques. Qu’il s’agisse de garanties pour l’utilisateur ou de processus et mécanismes de sécurité, la structure doit déterminer comment gérer et amoindrir ces risques.
L’analyse d’impacts vise tout autant à veiller au respect des droits et libertés des utilisateurs et à garantir leur sécurité, qu’à responsabiliser les structures en les poussant à se questionner sur leurs pratiques. Avant de mener une telle analyse, il peut être judicieux de se tourner vers la CNIL, qui a mis à disposition des organismes un guide méthodologique destiné à les accompagner dans cette démarche.