Article 35 Analyse d'impact relative à la protection des données

Le champ d'application de l'AIPD

L'article 35, paragraphe 1, impose la réalisation d'une AIPD lorsqu'un type de traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques. L'appréciation du caractère élevé du risque doit tenir compte de la nature, de la portée, du contexte et des finalités du traitement, ainsi que de l'utilisation de nouvelles technologies.

Le paragraphe 3 identifie trois catégories de traitements pour lesquels une AIPD est particulièrement requise : l'évaluation systématique et approfondie d'aspects personnels fondée sur un traitement automatisé, y compris le profilage, et produisant des effets juridiques ou affectant de manière significative les personnes (point a) ; le traitement à grande échelle de catégories particulières de données (données sensibles) ou de données relatives à des condamnations pénales et infractions (point b) ; et la surveillance systématique à grande échelle d'une zone accessible au public (point c).

Ces trois catégories ne sont pas exhaustives : l'expression « en particulier » utilisée au paragraphe 3 signifie que d'autres types de traitements peuvent également requérir une AIPD, dès lors qu'ils présentent un risque élevé pour les droits et libertés des personnes concernées. Le Comité européen de la protection des données (CEPD) a publié des lignes directrices précisant neuf critères permettant d'identifier les traitements nécessitant une AIPD, notamment l'évaluation ou la notation, la prise de décision automatisée avec effet juridique ou significatif, la surveillance systématique, les données sensibles, les données traitées à grande échelle, le croisement de données, les personnes vulnérables, l'utilisation innovante, ou l'exclusion du bénéfice d'un droit ou d'un contrat.

Les listes établies par les autorités de contrôle

L'article 35, paragraphe 4, impose aux autorités de contrôle d'établir et de rendre publique une liste des types d'opérations de traitement pour lesquels une AIPD est requise. Ces listes visent à faciliter l'identification par les responsables de traitement des situations dans lesquelles une AIPD doit être réalisée et à harmoniser les pratiques au sein de l'Union européenne.

En France, la Commission nationale de l'informatique et des libertés (CNIL) a publié une liste de traitements pour lesquels une AIPD est obligatoire, comprenant notamment les traitements de données biométriques, les traitements de données génétiques, les traitements de données de santé à grande échelle, les traitements de profilage susceptibles de produire des effets juridiques ou d'affecter significativement les personnes, les traitements de surveillance des salariés, ou encore les traitements mettant en œuvre des technologies innovantes telles que l'intelligence artificielle.

Le paragraphe 5 permet également aux autorités de contrôle d'établir une liste des types d'opérations de traitement pour lesquels aucune AIPD n'est requise. Cette liste vise à alléger la charge administrative pour les traitements présentant un risque faible et ne nécessitant pas d'analyse d'impact approfondie.

Le contenu de l'AIPD

L'article 35, paragraphe 7, précise le contenu minimal de l'AIPD. Celle-ci doit comporter au moins quatre éléments : une description systématique des opérations de traitement envisagées et des finalités du traitement (point a), une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités (point b), une évaluation des risques pour les droits et libertés des personnes concernées (point c), et les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité (point d).

La description systématique doit présenter de manière détaillée le traitement envisagé, en précisant notamment les catégories de données collectées, les catégories de personnes concernées, les destinataires des données, les durées de conservation, les transferts de données hors de l'Union européenne, et les technologies utilisées.

L'évaluation de la nécessité et de la proportionnalité suppose de vérifier que le traitement est indispensable pour atteindre les finalités poursuivies et qu'il ne va pas au-delà de ce qui est strictement nécessaire. Cette évaluation doit notamment examiner si les mêmes finalités pourraient être atteintes par des moyens moins intrusifs pour la vie privée des personnes concernées.

L'évaluation des risques doit identifier les événements redoutés (accès non autorisé, modification illicite, perte de données, etc.), estimer leur probabilité et leur gravité, et déterminer le niveau de risque résiduel après la mise en place des mesures de protection. Les mesures envisagées doivent être proportionnées aux risques identifiés et doivent permettre de ramener le risque résiduel à un niveau acceptable.

Le rôle du délégué à la protection des données

L'article 35, paragraphe 2, impose au responsable du traitement de demander conseil au délégué à la protection des données (DPO), lorsqu'il en a été désigné un, pour effectuer l'AIPD. Le DPO doit ainsi être consulté dès le début du processus d'analyse d'impact et doit pouvoir émettre des recommandations sur la méthodologie à suivre, les risques à prendre en compte, et les mesures à mettre en œuvre.

Le DPO n'est pas responsable de la réalisation de l'AIPD : cette responsabilité incombe au responsable du traitement. Toutefois, le DPO joue un rôle essentiel de conseil, de validation et de contrôle de la qualité de l'AIPD. Il doit veiller à ce que l'analyse d'impact soit réalisée de manière rigoureuse et complète, et il doit signaler au responsable du traitement toute insuffisance ou tout risque résiduel élevé nécessitant des mesures complémentaires.

La consultation des personnes concernées

L'article 35, paragraphe 9, prévoit que, le cas échéant, le responsable du traitement demande l'avis des personnes concernées ou de leurs représentants au sujet du traitement envisagé. Cette consultation vise à associer les personnes concernées à l'évaluation des risques et à la définition des mesures de protection, afin de tenir compte de leurs attentes et de leurs préoccupations.

La consultation des personnes concernées peut prendre différentes formes : enquêtes, groupes de discussion, consultations publiques, ou encore dialogue avec des associations représentant les personnes concernées. Elle doit être menée de manière transparente et loyale, en expliquant clairement les objectifs du traitement envisagé et en tenant compte des avis exprimés dans la définition des mesures de protection.

La consultation des personnes concernées n'est pas obligatoire dans tous les cas : l'expression « le cas échéant » signifie qu'elle doit être réalisée lorsque cela est approprié, en fonction de la nature du traitement et des risques identifiés. Toutefois, elle constitue une bonne pratique, permettant de renforcer la transparence et la confiance dans le traitement envisagé.

Le réexamen de l'AIPD

L'article 35, paragraphe 11, impose au responsable du traitement de réexaminer, le cas échéant, la manière dont le traitement est effectué afin d'évaluer si le traitement est effectué conformément à l'AIPD, au moins quand il y a une modification du risque que présentent les opérations de traitement. Ce réexamen vise à garantir que l'AIPD demeure pertinente et que les mesures de protection restent adaptées aux risques.

Le réexamen de l'AIPD doit être réalisé notamment en cas de modification significative du traitement (changement de finalité, élargissement du périmètre, utilisation de nouvelles technologies), en cas d'évolution des risques (nouvelles menaces, nouvelles vulnérabilités), ou en cas de changement du contexte réglementaire ou jurisprudentiel. Il est recommandé de prévoir une révision périodique de l'AIPD, par exemple tous les deux ou trois ans, afin de s'assurer de sa pertinence continue.

Articulation avec la consultation préalable de l'autorité de contrôle

L'article 35 doit être lu en lien étroit avec l'article 36, qui impose au responsable du traitement de consulter l'autorité de contrôle avant de mettre en œuvre le traitement lorsque l'AIPD révèle que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque. Cette consultation préalable permet à l'autorité de contrôle de conseiller le responsable du traitement sur les mesures complémentaires à mettre en œuvre et, le cas échéant, d'exercer ses pouvoirs de contrôle et de sanction.

La consultation préalable constitue ainsi un mécanisme de sécurité supplémentaire, garantissant que les traitements présentant un risque élevé résiduel font l'objet d'un examen par l'autorité de contrôle avant leur mise en œuvre.

Les outils et méthodes d'AIPD

La CNIL a développé un outil logiciel gratuit (PIA – Privacy Impact Assessment) permettant de réaliser des AIPD conformes aux exigences du RGPD. Cet outil guide le responsable du traitement tout au long du processus d'analyse d'impact, en proposant des modèles de description des traitements, des référentiels de risques, et des bases de connaissances de mesures de protection. Il facilite également la documentation de l'AIPD et la production de rapports destinés au DPO ou à l'autorité de contrôle.

D'autres méthodes d'AIPD ont été développées au niveau européen et international, notamment la méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) de l'Agence nationale de la sécurité des systèmes d'information (ANSSI), ou les méthodes développées par des organismes de normalisation tels que l'ISO. Ces méthodes peuvent être utilisées pour réaliser des AIPD conformes aux exigences du RGPD, à condition de respecter les exigences minimales prévues à l'article 35, paragraphe 7.

Sanctions et jurisprudence

Le non-respect de l'article 35 est susceptible d'entraîner des sanctions administratives en application de l'article 83 du RGPD. Les violations peuvent donner lieu à des amendes pouvant atteindre 10 000 000 euros ou, dans le cas d'une entreprise, 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu.

Les autorités de contrôle sanctionnent régulièrement les organisations qui ne réalisent pas d'AIPD alors qu'elle est requise, qui réalisent des AIPD incomplètes ou superficielles, ou qui mettent en œuvre des traitements présentant un risque élevé sans avoir pris de mesures appropriées pour atténuer ce risque. La CNIL considère que l'absence d'AIPD pour un traitement à risque élevé constitue un manquement grave, révélant une carence dans la gouvernance de la protection des données.

Recommandations de la CNIL et du CEPD

La CNIL recommande aux organisations de réaliser des AIPD pour tous les traitements présentant un risque élevé, même lorsque ces traitements ne figurent pas explicitement dans la liste des traitements pour lesquels une AIPD est obligatoire. Elle insiste sur l'importance de réaliser l'AIPD de manière rigoureuse et documentée, en associant le DPO et, le cas échéant, les personnes concernées.

Le CEPD souligne que l'AIPD constitue un outil fondamental de mise en œuvre du principe de responsabilité (accountability) et qu'elle doit être intégrée dès la phase de conception des traitements, conformément au principe de privacy by design. Il recommande aux organisations de considérer l'AIPD non pas comme une contrainte administrative, mais comme une opportunité d'identifier les risques, de renforcer la sécurité des traitements, et de démontrer leur engagement en faveur de la protection des données.