Guide pratique : Comment réaliser une AIPD selon la CNIL

Qu’est-ce qu’une AIPD ?

L’analyse d’impact est une procédure permettant d’identifier, d’évaluer et de maîtriser les risques potentiels découlant d’un traitement de données personnelles. Elle vise à protéger les droits et libertés des individus, conformément au RGPD. 

Quand faire une AIPD ? 

L’analyse d’impact  doit être réalisée avant la mise en œuvre d’un traitement de données susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées.

Dois-je faire une AIPD ? La liste des critères déclenchant une AIPD selon la CNIL

Vous devez faire une AIPD si votre traitement coche deux critères parmi les critères suivants, listés par le CEPD. 

• Mon traitement comporte du profilage et/ou de la notation (ex : scoring bancaire pour obtention d’un crédit
• Mon traitement réalise des décisions automatisées ayant des effets pour la personne concernée (décision prise par un algorithme ou une intelligence artificielle ayant des effets significatifs pour une personne concernée)
• Mon traitement concerne une surveillance systématique (par exemple de la vidéosurveillance ou de la géolocalisation)
• Mon traitement comporte des données sensibles ou hautement personnelles 
• Mon traitement est à grande échelle (par exemple, il concerne plus de 100 000 personnes, réparties sur divers pays, et comprend plusieurs types de données personnelles) 
• Mon traitement est un croisement de données déjà collectées, ayant un effet sur les droits et libertés des personnes 
• Mon traitement concerne des personnes vulnérables (patients, personnes âgées, enfants…)
• Mon traitement utilise une nouvelle technologie innovante (telle que l’IA) 
• Mon traitement sert à exclure des individus d’un bénéfice ou d’un contrat 

Si votre traitement remplit deux des critères précités, alors vous êtes dans l’obligation de réaliser une AIPD selon la CNIL. 

Les 5 ÉTAPES pour réaliser une analyse d’impact.

1. Identifier le traitement : 

Cette étape consiste à déterminer les caractéristiques du traitement de données envisagé, y compris sa finalité, les catégories de données concernées, les personnes impliquées et les destinataires.

• Quel est l’objectif de mon traitement ? Qui est concerné par mon traitement ? À qui (service, partenaire…) est destiné ce traitement ? Comment est réalisé ce traitement ? Quelles mesures techniques sont impliquées dans ce traitement ? Quelles mesures opérationnelles sont impliquées dans ce traitement ?

2. Évaluer la nécessité et la proportionnalité :

Il faut analyser si le traitement est réellement nécessaire et s’il est proportionné à la finalité poursuivie. Cette évaluation permet de garantir que seules les données adéquates et pertinentes sont traitées.

• Mon traitement est-il réellement utile compte tenu des risques identifiés ?

3. Évaluer les risques : 

Cette étape implique l’identification des risques potentiels pour les droits et libertés des personnes concernées. Ces risques peuvent être liés à la nature des données, aux techniques de traitement utilisées, aux mesures de sécurité mises en place, etc.

• Si je subis une cyberattaque, que risquent les personnes concernées par le traitement compte tenu des données que je traite ?

4. Identifier les mesures d’atténuation et de prévention du risque : 

Une fois les risques identifiés, il est essentiel de déterminer les mesures techniques et organisationnelles appropriées pour les atténuer. Cela peut inclure l’utilisation de techniques de pseudonymisation, la limitation de l’accès aux données, la mise en place de procédures de sécurité, etc.

• Comment puis-je limiter ces risques ?

5. Documenter l’analyse : 

Toutes les étapes de l’analyse d’impact doivent être documentées de manière précise et claire. Cela permet de démontrer la conformité aux obligations légales et de faciliter toute évaluation ultérieure.

L’importance de l’accompagnement par un professionnel de la conformité

Réaliser une analyse d’impact peut s’avérer complexe, car cela implique une compréhension approfondie des exigences légales et des principes de protection des données. Engager un professionnel de la conformité, tel qu’un DPO externe peut être une valeur ajoutée.

• Garantie d’une expertise :  Un DPO externe possède les connaissances et l’expérience nécessaires pour interpréter les réglementations et les recommandations de la CNIL. Il peut vous guider dans les étapes de l’analyse d’impact, vous aider à identifier les risques spécifiques à votre contexte et vous conseiller sur les mesures d’atténuation appropriées.

• Conformité accrue : Avoir un DPO externe vous assure une meilleure conformité aux exigences légales. En évitant les erreurs courantes et les omissions, vous réduisez le risque de sanctions et vous renforcez la confiance des individus quant à la protection de leurs données.
  

• Gain de temps et d’efforts :  Réaliser une analyse d’impact demande du temps et des ressources considérables. En vous faisant accompagner par un professionnel, vous économisez du temps précieux et vous vous assurez que le processus est mené de manière efficace et conforme.
  
  

L’analyse d’impact est une étape cruciale pour garantir une protection adéquate des données à caractère personnel. En suivant les recommandations de la CNIL et en étant accompagné par un professionnel de la conformité, vous augmentez considérablement vos chances de réaliser une analyse d’impact précise et complète.