données personnelles
Suis-je tenu de réaliser une analyse d’impact ?
Une analyse d’impact est obligatoire, depuis l’entrée en vigueur du RGPD, lorsque le traitement présente un « risque élevé » pour les droits et libertés des personnes concernées (ex : profilage, surveillance systématique, collecte de données sensibles ou à large échelle, etc.).
Cette analyse d’impact comprend :
- une description des opérations de traitement,
- une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités,
- une évaluation des risques pour les droits et libertés des personnes concernées,
- les mesures envisagées pour faire face aux risques (garanties et mesures de sécurité).
Si elle est nécessaire, cette analyse d’impact incombe au responsable du traitement et non au délégué à la protection des données (DPD). Ce dernier jouera cependant un rôle de conseil compte tenu de ses compétences en matière de données personnelles. Au besoin, le sous-traitant peut aussi apporter son assistance.
Une telle analyse d’impact ne sera cependant pas nécessaire, par exemple lorsque :
- le traitement ne présente pas de risque élevé pour les droits et libertés des personnes concernées,
- la nature, la portée, le contexte et les finalités du traitement envisagé sont très similaires à un traitement pour lequel une analyse d’impact a déjà été réalisée,
- le traitement a une base juridique dans le droit de l’UE ou dans le droit de l’Etat membre auquel le responsable de traitement est soumis et une analyse d’impact générale a déjà été effectuée dans ce cadre,
- le traitement correspond à une exception déterminée par la CNIL. A cet égard, la commission a publié une liste des opérations de traitement pour lesquelles une analyse d’impact n’est pas nécessaire, accessible sur son site internet.
Si vous êtes par exemple amené à procéder à une surveillance systématique des activités de vos employés (y compris leur poste de travail, leur activité sur internet, etc.), une étude d’impact est potentiellement requise.