Blog

Nov 15

La CNIL publie ses lignes directrices concernant le traitement des données, conformément au RGPD

Le 6 novembre dernier, a été publiée au bulletin la délibération n° 2018-326 du 11 octobre 2018 portant adoption de lignes directrices sur les analyses d’impact relatives à la protection des données (AIPD) prévues par le règlement général sur la protection des données (RGPD).

Par ce texte, la CNIL adopte les lignes directrices sur les analyses d’impact relatives à la protection des données, participant à la responsabilisation des entreprises.

Conformément à l’article 35 du RGPD, le responsable doit effectuer une analyse d’impact relative à la protection des données (AIPD – Data Protection Impact Assessment) lorsqu’un traitement de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées.

Selon la CNIL, l’AIPD se décompose en trois parties :

  • Une description détaillée du traitement mis en œuvre, comprenant tant les aspects techniques qu’opérationnels;
  • L’évaluation, de nature plus juridique, de la nécessité et de la proportionnalité concernant les principes et droits fondamentaux (finalité, données et durées de conservation, information et droits des personnes, etc.) non négociables, qui sont fixés par la loi et doivent être respectés, quels que soient les risques ;
  • L’étude, de nature plus technique, des risques sur la sécurité des données (confidentialité, intégrité et disponibilité) ainsi que leurs impacts potentiels sur la vie privée, qui permet de déterminer les mesures techniques et organisationnelles nécessaires pour protéger les données.

Concernant l’application dans le temps, une analyse d’impact ne sera pas exigée pour :

  • les traitements qui ont fait l’objet d’une formalité préalable auprès de la CNIL avant le 25 mai 2018, ou qui étaient dispensés de formalité ;
  • les traitements qui ont été consignés au registre d’un correspondant « informatique et libertés ».

Mais, cette dispense sera limitée à une période de 3 ans. A l’issue de ce délai, les responsables de traitement devront avoir effectué une telle étude si le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes.

En revanche, l’étude d’impact devra être réalisée immédiatement dès lors que le traitement présente un risque élevé :

  • pour tout nouveau traitement mis en œuvre après le 25 mai 2018 ;
  • pour les traitements antérieurs n’ayant pas fait l’objet de formalités préalables auprès de la CNIL ;
  • pour les traitements, antérieurs au 25 mai et qui ont été dispensés d’étude d’impact en raison de l’accomplissement d’une formalité préalable auprès de la CNIL, mais qui font l’objet d’une modification significative.

Source : Site de la CNIL

Lien : https://www.cnil.fr/fr/ce-quil-faut-savoir-sur-lanalyse-dimpact-relative-la-protection-des-donnees-aipd

Texte : https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000037559518&dateTexte=&categorieLien=id

Mélodie DRISSI pour ATurquoise