Data Privacy Impact Assessment : les premières clarifications arrivent, les inquiétudes demeurent

Publié le 15/05/2017 - CIO Online - E. Papin

Pour lire l’article d’Etienne Papin du 15 mai 2017 pour CIO Online.

Les conditions d’application du RGPD (GDPR en Anglais) incluent, par exemple, les DPIA (Data Privacy Impact Assessment). Une explication s’impose.

« Ce qui se conçoit bien s’énonce clairement, et les mots pour le dire arrivent aisément ». Cette maxime de Boileau n’est pas de celles qui ont présidé à la rédaction du Règlement 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (dit « RGPD »).

Ce texte provoque à l’heure actuelle dans les entreprises une prise de conscience sur le fait qu’un droit des données personnelles existe, alors que la France connaît une réglementation en la matière depuis 1978 et que les principes de cette réglementation ont totalement été repris par le RGPD… en plus compliqué il est vrai. Peut-être est-ce la perspective de sanctions portées à 20 millions d’euros ou 4% du chiffre d’affaires mondiales qui provoquent ce branlebas de combat dans les directions générales.

Les 88 pages, 99 articles et 173 considérants du RGPD n’ont pas suffi au législateur européen pour épuiser la matière normative devant être ingurgitée par les entreprises.

Parmi les sujets d’interrogations que provoque le RGPD, l’un des principaux porte sur les « analyses d’impact » (ou Data Privacy Impact Assessment) que l’on peut considérer comme la nouveauté majeure du RGPD.

Le groupe des « Cnil » européennes, communément appelé le G29, vient de publier des lignes directrices sur les DPIA. Elles doivent aider à répondre à des questions aussi essentielles que « quand » et « comment » faire une analyse d’impact ?

Disons immédiatement que les lignes directrices du G29 étendent considérablement le champ d’application des analyses d’impact par rapport à une lecture raisonnable que l’on pouvait avoir du RGPD. Les entreprises doivent donc se préparer à pratiquer à haute dose des DPIA ! Cela ne serait pas encore trop grave si l’on était sûr de savoir quoi mettre dedans…

Le principe, posé par l’article 35.1 du RGPD, est qu’une analyse d’impact est requise lorsque le traitement est susceptible « d’engendrer un risque élevé pour les droits et libertés des personnes ». Le texte du G29 illustre enfin ce qu’il faut entendre par « les droits et libertés » des personnes, dont la définition était singulièrement absente du RGPD. Il s’agit du droit à la vie privée mais aussi la liberté d’expression, la liberté de pensée, la liberté d’aller et venir, la non-discrimination, la liberté de conscience et de religion. Mais les questions que soulèvent les DPIA restent nombreuses.

Quand faire une analyse d’impact (« DPIA ») ?

A cette question, le RGPD apportait déjà quelques réponses.

Le profilage et la prise de décision automatisée

L’article 35.3.a requiert de réaliser une analyse d’impact en cas d’évaluation systématique et approfondie d’aspects personnels de personnes physiques, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire.

On pense ici, et le document du G29 le confirme, au « scoring » dans le cadre de l’attribution de crédits par exemple.

Mais là où l’article 35.3.a requérait deux conditions cumulatives (évaluation systématique + prise de décision), le G29 voit deux cas différents dans lesquelles l’analyse d’impact est nécessaire : le scoring d’une part et la prise de décision automatisée d’autre part.

Le traitement « à grande échelle » de données sensibles et des infractions pénales

L’article 35.3.b requiert de réaliser une analyse d’impact en cas de traitement « à grande échelle » de données sensibles. Rappelons que les données sensibles sont : l’origine raciale ou ethnique, les opinions politiques, religieuses ou philosophiques, l’appartenance syndicale, les données génétiques et biométriques, les données concernant la santé et l’orientation sexuelle.

Les lignes directrices du G29 prennent encore une fois des libertés avec le texte du RGPD puisqu’elle viennent inclure dans la catégorie des données sensibles (portant énumérées à l’article 9 du RGPD), les « données qui de manière générale peuvent être considérées comme augmentant les risques possibles aux droits et libertés des personnes » comme : les données de communication électronique, les données de géolocalisation, les données financières, les données d’activités personnelles dont la divulgation pourrait être considérée comme intrusif, et le G29 de donner pour exemple les services de cloud hébergeant des agendas, des documents, des courriels, etc.

Voilà qui commence à allonger singulièrement la liste des données sensibles et par conséquent le champ d’application obligatoire des DPIA !

La surveillance systématique d’une zone accessible au public

Cette hypothèse, prévue à l’article 35.3.c du RGPD, vise principalement toutes les techniques de vidéoprotection.

La mise en oeuvre de « nouvelles technologies »

Prévu en filigrane de l’article 35.1 du RGPD, ce cas d’application laisse on ne peut plus perplexe. Parler de « nouvelles technologies » en 2017 relève presque de l’anachronisme et d’un manque de réflexion systémique sur la matière que l’on peut reprocher au RGPD. C’est un règlement fait soit de cas par cas soit de grandes généralités au contenu normatif flou. Le document du G29 ne trouve à citer que « l’internet des objets » comme exemple de ces « nouvelles technologies » prédites comme susceptibles d’engendrer un risque élevé pour les droits et libertés.

Au-delà de ce qui était déjà spécifiquement envisagé par le RGPD, l’avis du G29 fournit de nouveaux cas dans lesquels une analyse d’impact sera requise :

Le transfert de données personnelles en dehors de l’Union Européenne

Le lecteur des lignes directrices se retiendra de pousser un cri de désespoir à la lecture de ce cas d’application des DPIA !

Le transfert des données personnelles hors de l’Union Européen est un sujet déjà particulièrement encadré par le RGPD puisque l’ensemble de son chapitre V est y consacré, en ayant d’ailleurs superbement ignoré la réalité technique d’aujourd’hui qu’est le « cloud computing ».

Mais il faudrait donc, selon le G29, en plus du respect des règles régissant déjà le transfert des données hors de l’Union Européenne, ajouter la réalisation d’une analyse d’impact avant ce transfert. L’enfer est pavé de bonnes intentions…

Les traitements de données personnelles à grande échelle

Le G29 apporte simplement comme précision que la « grande échelle » en question peut résulter du nombre de personnes concernées (en valeur absolue ou en proportion d’une population), du volume de données, de la durée du traitement, de la couverture géographique du traitement. A vrai dire, on s’en serait douté…

Les personnes concernant des personnes vulnérables

Le G29 place expressément dans cette catégorie les enfants, c’était prévu par le RGPD, mais aussi les salariés ! Autant dire qu’il n’est plus de SIRH qui puisse être mise en oeuvre sans réalisation d’une analyse d’impact.

Comment réaliser une analyse d’impact ?

Ce que nous savons de l’article 35.7 du RGPD est que l’analyse doit comporter :
une description systématique des opérations de traitement envisagées et des finalités du traitement ;
une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités ;
une évaluation des risques pour les droits et libertés des personnes concernées ; et
les mesures envisagées pour faire face aux risques.

C’est bien peu d’informations quand on voit l’importance que le G29 accorde à l’analyse d’impact dans ses lignes directrices, lesquelles ne manquent pas de rappeler, en introduction, les sanctions applicables en cas de non-respect du RGPD.

Que nous apprend donc le document du G29 ? Malheureusement celui-ci relève souvent plus de la paraphrase que d’un véritable apport méthodologique.

Le G29 remarque que les composants d’une analyse d’impact se recoupent avec les composants connus du risk management notamment tels qu’envisagés par la norme ISO 31000. Il s’agit notamment : d’établir le contexte, d’identifier le risque, d’analyser le risque, d’évaluer le risque et de traiter le risque.

Le problème est qu’en matière de traitement de données personnelles, on risque vite de réfléchir en rond. Les risques seront toujours les mêmes : l’événement redouté sera la destruction, la perte, l’altération ou la divulgation de la donnée personnelle, les conséquences dommageables seront physique, matériels ou morales. Les mesures pour les diminuer également toujours les mêmes quelles soit techniques (anonymisation ou chiffrement) ou organisationnelles.

Quant à la probabilité du risque, les responsables de traitement seront bien ennuyés pour l’évaluer en l’absence de tout élément statistique pour l’apprécier.

Au final, il y a fort à parier que les analyses d’impact deviennent une contrainte purement formelle, réalisées de manière mécanique sur la base d’une grille de questions et d’analyse stéréotypée, établie en fonction de ce que les régulateurs voudront bien produire comme littérature.

Les lignes directrices du G29 listent des méthodologies déjà connues en matière d’analyse d’impact comme celle de la « Cnil » britannique de 2014 et celle de la Cnil française de 2015. Lorsqu’on prend le temps de les étudier et qu’on en filtre les introductions, conclusions et propos redondant avec la législation, il ne reste pas grand-chose de ces méthodologies.

Dans le cadre « lâche » formés par les textes, l’imagination est donc au pouvoir pour mener à bien une étude d’impact !

Quelles conséquences tirer de l’analyse d’impact ?

Les lignes directrices du G29 apportent une interprétation bienvenue à l’article 36.1 du RGPD assez mal rédigé.

Lorsqu’au terme de l’analyse d’impact, le responsable du traitement démontre avoir pris les mesures appropriées, celui-ci n’est pas tenu de consulter l’autorité de contrôle, à savoir la Cnil.

Lorsque le risque résiduel demeure élevé au terme de l’analyse d’impact, il sera nécessaire de consulter l’autorité de contrôle. A ce moment, le praticien est pris d’une certaine perplexité. Qui ira présenter un dossier à la Cnil dont il ressortirait que le risque d’atteinte aux données personnelles est élevé ? Quelle sera l’autorité qui rendra un avis positif sur une étude d’impact laissant apparaître un risque résiduel élevé ? Quel sera le responsable de traitement qui ira à l’encontre d’un avis négatif d’une autorité ? Dans le droit mou, on finit toujours par sombrer…

Publiées le 4 avril, les lignes directrices du G29 sont ouvertes à commentaires jusqu’au 23 mai.

Autres publications