Le traitement des données personnelles, notamment celles des salariés par les services de ressources humaines, ne fait plus l’objet d’une déclaration préalable à la CNIL, mais doit répondre aux obligations du règlement européen, le RGPD.
De surcroît, la CNIL rend obligatoire au 25 mai 2021 la réalisation d’une analyse d’impact des données dont le traitement est particulièrement sensible, dite « analyse d’impact à la protection des données » (AIPD).
L’AIPD : qu’est-ce que c’est ?
Dès lors qu’un traitement de données personnelles est considéré comme « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées« , une analyse d’impact à la protection des données (AIPD) doit être effectuée.
L’objectif de l’AIPD est de déterminer les risques inhérents au traitement de donnée concerné, ainsi que les actions mises en place pour y pallier.
C’est le responsable de traitement, a fortiori l’employeur, qui est tenu par l’obligation de s’assurer de la conformité de son traitement au RGPD, et donc de réaliser une AIPD lorsque cela est nécessaire.
Qand l’AIPD est-elle obligatoire ?
L’AIPD est obligatoire dans deux hypothèses :
▶️ Lorsque le traitement envisagé figure dans la liste des types d’opérations de traitement pour lesquelles la CNIL a estimé obligatoire de réaliser une analyse d’impact relative à la protection des données (voir la liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise).
La CNIL impose la mise en place d’une AIPD notamment pour les traitements suivants :
- Vidéosurveillance d’un entrepôt stockant des biens de valeur au sein duquel travaillent des manutentionnaires ;
- Service de géolocalisation de mobilité urbaine utilisé par un grand nombre de personnes ;
- Application mobile permettant de collecter les données de géolocalisation des utilisateurs ;
- Chronotachygraphe des véhicules de transport routier ;
- Mise en œuvre d’un système de billettique par des opérateurs de transport.
▶️ Lorsque le traitement concerné remplit au moins deux des neuf critères suivants :
- évaluation/scoring (y compris le profilage) ;
- décision automatique avec effet légal ou similaire ;
- surveillance systématique ;
- collecte de données sensibles ou données à caractère hautement personnel ;
- collecte de données personnelles à large échelle ;
- croisement de données ;
- personnes vulnérables (patients, personnes âgées, enfants, etc.) ;
- usage innovant (utilisation d’une nouvelle technologie) ;
- exclusion du bénéfice d’un droit/contrat.
L’AIPD : comment la formaliser ?
L’AIPD se découpe en 3 parties :
- Une description détaillée du traitement comprenant tant les aspects techniques qu’opérationnels ;
- L’évaluation de nature plus juridique, de la nécessité et de la proportionnalité du traitement ;
- L’étude des risques sur la sécurité des données ainsi que leurs impacts potentiels sur la vie privée.
Le logiciel open source « PIA », mise à disposition des entreprises par la CNIL, permet la formalisation des analyses d’impact relatives à la protection des données (AIPD) telles que prévues par le RGPD.
Le logiciel est disponible en libre accès sur le site internet de la CNIL : https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil
Faut-il publier son AIPD ?
Non, il n’y a aucune obligation de publication de l’AIPD.
Faut-il transmettre son AIPD à la CNIL ?
S’il apparait, après l’AIPD, que le niveau de risque résiduel reste élevé, l’employeur doit alors transmettre son analyse d’impact à la CNIL.
Le cas échéant, l’AIPD est télétransmise à la CNIL soit par courrier avec accusé de réception, soit via le Téléservices proposé sur le site internet de la CNIL :
Quelle sanction en cas d’absence d’AIPD ?
La CNIL est chargée de contrôler la mise en oeuvre du RGPD et de l’AIPD au sein des entreprises.
En cas de non-confirmé constatée après un contrôle de la CNIL, le montant de l’amende encourue peut s’élever jusqu’à 10 000 000 euros ou jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.
