Le RGPD (règlement européen sur la protection des données) impose dans son article 35 de réaliser un AIPD (ou Data Protection Impact Assessment) lorsqu’un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées. Cet article donne des conseils pour mettre en œuvre cette activité d’une manière la plus pragmatique possible. Les référentiels et bonnes pratiques sont issus de plusieurs sources : ISO 29134 (guidance for privacy impact assessement), CNIL et les lignes directrices du WP29 (remplacé depuis l’entrée en application du règlement par le comité européen de la protection des données).

Cadrer le processus

Ce processus devra être adapté à la taille de l’organisation et se conformer aux exigences légales applicables, qui peut être complexe dans le cas d’un groupe multinational. Dans le cas du RGPD, des spécificités nationales peuvent exister (par exemple la question de la prise en compte des traitements historiques existant avant mai 2018). Les points suivants doivent être définis pour cadrer le processus :

• Les conditions pour lesquelles une AIPD est obligatoire. Dans le cas du RGPD, on utilise les lignes directrices du WP29 (concernant l’analyse d’impact relative à la protection des données et la manière de déterminer si le traitement est « susceptible d’engendrer un risque élevé ») ainsi que la liste publiée par la CNIL. Des exemples de cas obligatoires sont le traitement de données de santé, les dispositifs de cybersécurité DLP (Data Loss Prevention), le dispositif de recueil d’alertes professionnelles, la personnalisation des publicités en ligne, l’instruction des demandes de logements sociaux, la collecte de données de géolocalisation… Il faut aussi vérifier si l’AIPD est requis pour les traitements déjà en application. Par exemple pour la France, les traitements en œuvre avant l’application du règlement européen sont dispensés pendant 3 ans d’AIPD en cas de formalité préalable à la CNIL ou d’insertion dans le registre de l’ancien CIL (correspondant informatique et libertés).
• Rôles et responsabilités. Si le DPO peut être amené à coordonner cette activité pour de petites structures, ce peut être aussi un chef de projet issu du métier. Comme toutes les analyses de risques, ce travail doit être collectif et intégrer les parties prenantes.
• Critères de l’analyse (impacts, vraisemblance, échelles et guides d’évaluation, critères d’acceptation). Il est important d’apporter de l’aide concrète aux personnes qui devront produire l’analyse afin d’obtenir de la cohérence entre les AIPD. Des guides et exemples seront très appréciées dans ce cadre.
• Le périmètre de l’analyse. Cela comprend les aspects métiers (flux ce données, qui accèdent aux données, quels traitements, finalités…) et techniques (systèmes d’information, éditions papiers, sous-traitance…). C’est souvent une activité difficile mais le diable étant dans les détails, un manque de rigueur pour cette étape peut conduite à des analyses erronées et manquer l’essentiel.

Les modalités de consultation des parties prenantes. Cet aspect comprend les modalités de publication interne (si certains aspects ne sont pas diffusés pour des raisons de sécurité, la publication d’une synthèse peut concourir à renforcer la confiance dans le traitement) et externes aux régulateurs.

Le contenu de l’AIPD

En fonction du risque, le contenu pourra être plus ou moins détaillé. Quelques éléments importants : les flux de données, qui fait quoi sur ces flux, les événements redoutés, les exigences de protection (d’un point de vue légal, organisationnel et technique), l’évaluation et le traitement des risques, le rapport final et les modalités de communication, le plan des actions, les modalités de revue et le cas échéant d’audit de l’analyse. Les exemples de contenu de l’ISO 29134 sont bien faits et peuvent être utilisés. En Europe, on peut s’appuyer sur les régulateurs nationaux qui proposent régulièrement des canevas. En France, la CNIL propose un outil gratuit pour cadrer et réaliser ses AIPD.

 Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :