RGPD – le PIA : l’analyse de risque pour les données personnelles
Les lignes directrices publiées par le CEPD (Contrôleur Européen de la Protection des Données, anciennement nommé G29) insistent sur un point essentiel : qu’il soit ou non obligatoire, le PIA est un outil essentiel de l’«accountability », pierre angulaire du RGPD, qui désigne la capacité de chaque entreprise (qu’elle soit en position de responsable de traitement ou de sous-traitant) à démontrer qu’elle gère de façon adéquate et proportionnée les risques que ses traitements font encourir aux personnes du fait des données qu’elles détiennent sur elles.
- Premier point d’attention : Les entreprises ont intérêt à élaborer un PIA pour chaque processus « structurant » qui traite des données personnelles, même si le PIA n’est pas obligatoire. Par exemple les données client/prospect, les données de recrutement, ou toute autre donnée cœur de métier. Cela lui permettra de détecter les faiblesses, d’anticiper les risques, et de documenter sa démarche d’accountability.
- Second point d’attention : Quand le PIA est-il obligatoire ?
Le PIA est obligatoire dès lors que le traitement est susceptible de créer un « risque élevé » pour les droits et les libertés des personnes physiques. Les lignes directrices fournissent dix critères à prendre en compte pour identifier l’existence d’un « risque élevé » :
- L’évaluation de la performance au travail, de la situation économique, de la santé, des intérêts personnels, du comportement, des déplacements.
- Le profiling, défini comme un procédé conduisant automatiquement à une décision structurante pour la personne (par exemple l’exclusion ou la discrimination).
- La surveillance dans un lieu public, sur laquelle les personnes n’ont aucun moyen d’action.
- Le traitement de données sensibles, qui incluent les données « particulières » ou les infractions au sens du RGPD mais pas seulement. Il peut aussi s’agir de données financières ou de localisation, dont le traitement peut également engendrer des risques élevés.
- Tout traitement effectué à « grande échelle », au regard du nombre ou de la proportion de données traitées, le caractère permanent du traitement ou son extension géographique.
- Les traitements conduisant à recouper des données collectées pour une finalité différente (ce qui ramène à la notion d’« interconnexion de fichier » nécessitant une autorisation de la CNIL au sens de l’actuelle Loi Informatique et Libertés).
- Les traitements de données des sujets « vulnérables » ou positionnés dans un rapport de force défavorable : employés, enfants, personnes mentalement déficientes par exemple.
- Utilisation de technologies disruptives, telles que l’usage combiné de la reconnaissance par empreinte digitale et faciale, ou l’internet des objets.
- Les transferts de données en dehors de l’Union européenne.
- Les traitements susceptibles de priver une personne d’un droit : par exemple la vérification de la présence d’une personne dans une base pour refuser de lui accorder un crédit.
Les lignes directrices précisent que ces critères ne sont pas à utiliser de façon isolée : si un traitement répond à plus de deux critères, il présente à coup sûr un risque élevé. En dessous, cela n’est pas sûr.
L’application pratique de ces règles est complexe. La CNIL s’est positionnée de façon claire suite à la publication d’une liste de traitements pour lesquels le PIA est obligatoire. Cependant elle n’est pas exhaustive et en cas de doute sur un traitement il est préférable de faire le PIA associé.
- Troisième point d’attention : faut-il soumettre systématiquement le PIA à la CNIL ?
La réponse est non. Le PIA ne devrait en théorie être soumis à la CNIL que s’il subsiste des risques résiduels élevés pour les droits et libertés des personnes. t.
- Quatrième point d’attention : que doit contenir le PIA et comment le faire ?
C’est au responsable de traitement qu’il revient d’initialiser le PIA mais si le traitement est réalisé en partie par des sous-traitants, ceux-ci doivent participer pour la partie du traitement qu’ils assurent. En pratique, il est souhaitable que les entreprises « sous-traitantes », qui par exemple fournissent des services en mode SaaS, élaborent des « PIA génériques » qui seront un gage de sécurité et de qualité pour leurs clients.
Le PIA est un exercice libre, mais il doit contenir a minima :
- Une description du processus et des finalités du traitement ;
- Une évaluation de la nécessité et de la proportionnalité du traitement ;
- Une évaluation des risques pour les droits et libertés des personnes, le risque étant ici défini comme un scenario décrivant un scenario et ses conséquences, estimés en termes de sévérité et de vraisemblance.
- Les mesures envisagées pour adresser les risques et démontrer la conformité à la GDPR.
- Cinquième point d’attention : le PIA n’est pas une action « one shot » (comme les déclarations). C’est un processus continu, qui doit être régulièrement revu en fonction des facteurs susceptibles de le modifier.
En conclusion, la conformité RGPD, vu du mauvais côté, est un coût mais, pour l’entreprise, la démarche de conformité RGPD est totalement cohérente avec celle de l’organisation de la donnée et les démarches qualité et sécurité, qui sont des prioritées absolues dans un monde où le patrimoine de l’entreprise est majoritairement incorporel, donc éminemment menacé, fragile et stratégique.