Slides du webinaire du 17 juin 2022

1. ALL OVER THE WORLD
Earlegal – RGPD :
comment réaliser
une analyse
d’impact (AIPD) ?
LA PRÉSENTATION DÉBUTERA À
8H30.
La formation est enregistrée. Veuillez donc couper votre
caméra si vous ne souhaitez pas apparaitre lors de
l'enregistrement.

2. Présentation et logistique
• Présentation co-organisée par Larcier et Lexing Belgium
• La présentation est enregistrée – possibilité de couper votre
caméra
• La présentation vous sera envoyée par courriel
• Les vidéos seront disponibles en ligne quelques semaines plus
tard : https://lexing.be/academie/earlegal/

3. Au programme …
• Dans quels cas faut-il (ou ne faut-il pas) effectuer une AIPD ?
• Quels sont les rôles respectifs des « acteurs » du RGPD lors de la
réalisation de l’AIPD ?
• Concrètement, comment réaliser une AIPD ?
• Les résultats de l’AIPD et leur implication

4. Base légale, définition, objectifs et étendue
Mais d’abord … c’est quoi une
AIPD/DPIA ?

5. Base légale et concept
• Définition
Règlement Général sur la Protection des Données (RGPD), Article 35, alinéa 1er :
« 1. Lorsqu'un type de traitement, en particulier par le recours à de nouvelles
technologies, et compte tenu de la nature, de la portée, du contexte et des
finalités du traitement, est susceptible d'engendrer un risque élevé pour les
droits et libertés des personnes physiques, le responsable du traitement
effectue, avant le traitement, une analyse de l'impact des opérations de
traitement envisagées sur la protection des données à caractère personnel. Une
seule et même analyse peut porter sur un ensemble d'opérations de traitement
similaires qui présentent des risques élevés similaires. »

6. Base légale et concept
PROCESSUS
Projet de
Traitement
RISQUE !
 Décrire les traitements
 Évaluer la nécessité et la
proportionnalité des traitements
(= principes fondamentaux)
 Gérer les risques pour les droits
et libertés des PP liés au
traitement de leurs DCP, en :
• évaluant ces risques
• déterminant les mesures
de sécurité nécessaires
pour y faire face

7. Objectifs poursuivis par l’AIPD
• Permet d’identifier les risques, que l’on peut définir comme « les
scénarios hypothétiques d’événements redoutés »
• Exemple : accès illégitime aux données, modification non désirée des
données, disparition des données
• Permet de minimiser les risques en adoptant des mesures
correctives de sécurité (ou en adaptant des mesures existantes)
• à un stade précoce
• Exemple : avant la mise en production d’un produit/une application
qui collecte des données, pour éviter tout problème par la suite …

8. Objectifs poursuivis par l’AIPD
• Protéger les droits et libertés des personnes
physiques concernées
• = Droit à la vie privée/protection des données
Mais aussi :
• = les autres droits fondamentaux : droit à la non-
discrimination, liberté de circulation, liberté de conscience,
liberté de religion, etc.

9. Étendue de l’AIPD
• Pour un ou plusieurs traitement(s) de données
 Pas obligatoire pour chaque opération de traitement
 Uniquement pour le ou les traitement(s) présentant un risque
élevé pour les droits et libertés des PP
• Une seule et même analyse peut porter sur un ensemble
d'opérations de traitement similaires qui présentent des risques
élevés similaires

10. Le cycle de l’AIPD
• Il faut l’effectuer le plut tôt possible
dans le processus de conception du
traitement (Privacy by design, Privacy
by default)
• Même si toutes les opérations de
traitement ne sont pas encore connues
• L’AIPD, pendant sa réalisation, devra être
régulièrement mise à jour
• Certaines étapes seront répétées
// processus itératif en matière de
développement informatique

11. Obligation d’accountability
• Capacité du responsable du
traitement à démontrer que
des mesures appropriées
ont été prises pour assurer
la conformité au règlement

12. Quid si je ne réalise pas une AIPD
normalement obligatoire ?
• En cas de :
- Non réalisation d’une AIPD alors que le traitement était
soumis à l’obligation d’une telle analyse (art. 35, §§ 1, 3 et 4) ;
- Réalisation de l’AIPD de manière incorrecte (art. 35, §§ 2 et 7
à 99)
- Défaut de consultation de l’APD alors que la situation
l’exigeait (art. 36, § 3, point e))
Des sanctions sont possibles …

13. Autorité de Protection des
onnées
Réputation &
Confiance
Argument commercial
• Contrôle croissant de l’APD
(plainte ou initiative)
• Contrôle le respect du RGPD +
ePrivacy
• Sanctions renforcées
Max. 20.000.000 EUR ou 4%
du CA annuel mondial
Être "RGPD-compliant"
 un argument
commercial
Enjeux

14. Zone blanche, zone grise, zone noire
I. Dans quels cas faut-il (ou ne faut-il
pas) effectuer une AIPD ?

15. Application temporelle
Application temporelle :
 Nouveaux traitements depuis le 25 mai 2018
 Traitements existants avant le 25 mai 2018, mais présentant un changement
• Modification de technologie
• Modification de méthode de collecte de données
• Modification de l'ampleur des données collectées
• Modification des catégories de données collectées
• …
25 mai 2018

16. Trois « zones »
3
Cas
obligatoires
RGPD
8
Cas
obligatoires
APD
Décision
01/2019
9
Cas exonérés
APD
Recom.
01/2018
?
CEPD
Lignes
wp248
9 critères
= ou > 2 crit.
rencontrés
 AIPD

17. Zone noire : 3 cas repris dans le RGPD
• Art. 35.3. du RGPD - Dans les 3 cas
suivants :
1. L'évaluation systématique et
approfondie d'aspects personnels par
traitement automatisé (profilage),
menant à des décisions produisant des
effets juridiques à l'égard d'une
personne ou l'affectant de manière
significative;
2. Le traitement à grande échelle de
catégories particulières de données ;
3. La surveillance systématique à grande
échelle d'une zone accessible au public.
 Suivi
 Régulier
(fréquence)
 Systématique
(méthode)

18. Zone noire : 8 cas rajoutés par l’APD
1) Si le traitement utilise des données biométriques pour
identifier de façon unique des personnes se trouvant dans
un lieu public ou dans un lieu privé accessible au public.
2) Si des données sont collectées auprès de tiers afin de
refuser ou de cesser un contrat de services déterminé avec
une personne.
3) Si des données de santé sont collectées
automatiquement à l’aide d’un dispositif médical
implantable actif.
4) Si des données sont collectées à grande échelle auprès
de tiers afin d'analyser ou prédire la situation économique,
la santé, les préférences, centres d’intérêts, la fiabilité, le
comportement, la localisation et les déplacements d’une
personne,

19. Zone noire : 8 cas rajoutés par l’APD
5) Echange systématique de données particulières ou des données
concernant la pauvreté/le chômage/l’implication de l’aide à la
jeunesse/le travail social/les activités domestiques et
privées/les données de localisation entre plusieurs responsables du
traitement.
6)Traitement à grande échelle de données générées au moyen
d'appareils dotés de capteurs qui envoient des données via Internet
ou un autre moyen (IoT, « smart cities », etc.), ce traitement servant
à analyser/prédire la situation économique, la santé, les préférences,
centres d’intérêt, …
7) Traitement à grande échelle ou systématique de données de
communication, métadonnées, données de localisation, sans que ce
traitement ne soit strictement nécessaire pour le service demandé, (ex:
wifi-tracking, localisation des voyageurs dans les transports publics, …)
8) Si on observe le comportement de personnes de manière
systématique via un traitement automatisé à grande échelle, y
compris à des fins publicitaires (il n’est pas nécessaire qu’une décision
négative soit prise à l’encontre de la personne concernée, le seul suivi
du comportement suffit).

20. Zone blanche : 9 cas exonérés
1) nécessaires pour répondre à une obligation légale (pour
autant que la loi définisse précisément les conditions du
traitement).
2) nécessaires à l’administration des salaires.
3) qui concernent exclusivement l’administration du
personnel en service. Cependant, cette exonération tombe
dès que le traitement porte sur des données relatives à la
santé, des données particulières ou des données pénales, ce
qui sera fréquemment le cas.
4) qui concernent exclusivement la comptabilité.
5) qui concernent exclusivement l’administration des
actionnaires et associés.

21. Zone blanche : 9 cas exonérés
6) effectués par une fondation, association ou toute autre institution
sans but lucratif dans le cadre de ses activités habituelles et qui
portent uniquement sur des données relatives à ses propres membres,
aux personnes avec lesquelles elle entretient des contacts réguliers ou
aux bénéficiaires de cette institution et pour autant qu’aucune base de
données obtenue de tiers ne soit utilisée.
7) portant sur l’enregistrement des visiteurs dans le cadre d’un
contrôle d’accès, pour autant que vous vous limitiez à noter le nom,
l’adresse professionnelle, l’employeur, le véhicule, le nom, la section et
la fonction de la personne visitée, le moment de la visite.
8) par les écoles en vue de la gestion de leurs relations avec les élèves
potentiels, actuels et anciens.
9) Portant que la gestion de la clientèle ou des fournisseurs existants
ou anciens. Cette exonération tombe également dès que sont traitées
les données des catégories particulières de données ou des données
pénales ou des données provenant d’un tiers.

22. Zone blanche
• Est également exonéré d’AIPD le traitement de données similaire à
un traitement pour lequel une AIPD a déjà été réalisée.
Exemple : lorsque l’on utilise des technologies similaires pour collecter le
même type de données pour les mêmes finalités
En conséquence, l’AIPD de référence doit être partagée ou rendue
publiquement accessible
Exemples :
- Un groupe d’autorités municipales mettant chacune en place
un système similaire de surveillance
- Un opérateur ferroviaire pourrait couvrir la vidéosurveillance de
l’ensemble de ses gares au moyen d’une seule et même AIPD

23. Zone grise
• CEPD (ancien Groupe Article 29)
• Le responsable du traitement doit évaluer lui-même si le traitement
présente un risque élevé pour les droits et libertés des personnes
concernées
• Evaluation au moyen de 9 critères
• 2 critères rencontrés  AIPD est présumée nécessaire
• À moins que le responsable de traitement estime qu’il n’y a pas de risque
élevé pour les personnes concernées. Dans ce cas, il doit motiver et
documenter son raisonnement

24. Zone grise
2 critères (ou +)
rencontrés ?
Données
particulières,
pénales,
hautement
perso.
Personnes
vulnérables
Grande
échelle
Croiser des
ensembles
Prendre une
décision
automatisée
avec effet
juridique
Empêcher
d’exercer un
droit ou de
bénéficier d’un
service/contrat
Surveiller
systématique-
ment
Évaluer
(rendement,
situation éco,
santé,
préférences, …)
Utiliser des
nouvelles
solutions
techno./orga.
- Au plus il y a de critères
remplis, au plus le risque
est élevé …
- Le responsable du
traitement pourrait
considérer que même si un
seul critère est rempli, une
AIPD doit être faite

25. Synthèse

26. II. Parties impliquées dans la réalisation
de l’AIPD

27. Le responsable du traitement
• = celui qui détermine les finalités et moyens du traitement
• C’est à lui qu’incombe la réalisation de l’AIPD
• Il est responsable de la bonne réalisation de l’AIPD
• Si l’AIPD n’est pas ou est mal réalisée alors qu’elle est obligatoire, il doit
rendre des comptes
• Même en cas de délégation de la tâche de réalisation de l’AIPD, le
responsable de traitement reste le responsable de cette tâche

28. Le sous-traitant
• = agit pour le compte du responsable du traitement
Exemple : hébergeur/gestionnaire d’une application de géolocalisation,
prestataire informatique, gestionnaire d’un serveur, …
• Doit apporter son aide au responsable de traitement (Article 28, alinéa 3, f)
du RGPD)
• Si nécessaire et sur demande
• Quel degré d’assistance du sous-traitant ?
(recommandation 01/2018 de l’APD) Ce degré est déterminé
« à la lumière de :
(1) la nature du traitement
(2) les informations mises à disposition du sous-traitant
(3) l’opportunité de l’aide du sous-traitant afin de parvenir à une analyse et à une
gestion des risques correctes et de qualité. »

29. Le délégué à la protection des données
• Rôle consultatif (décisionnel) (Article 35, alinéa 2 du RGPD)
• Il convient de solliciter son avis sur les questions suivantes :
 Faut-il ou non procéder à une AIPD ?
 Quelle méthodologie suivre lors de la réalisation d’une AIPD ?
 Effectuer l’AIPD en interne ou la sous-traiter ?
 Quelles mesures (en ce compris les mesures techniques et organisationnelles) adopter pour
atténuer les risques éventuels pesant sur les droits et les intérêts des personnes concernées ?
 L’AIPD a-t-elle été correctement réalisée ?
 Est-il opportun ou non de procéder au traitement et, dans l’affirmative, sous quelles garanties ?
 Les conclusions de l’AIPD sont-elles conformes aux exigences en matière de protection des
données ?

30. Les personnes concernées
• Le cas échéant, il convient de demander l’avis des personnes concernées ou
de leurs représentants
• Décision de consulter ou non les personnes concernées revient au
responsable de traitement
• Choix totalement libre du responsable de traitement ?
• NON
• Il est nécessaire de consulter les personnes concernées s’il existe suffisamment de
motifs importants de procéder à la consultation, compte tenu de :
La nature du traitement
Du contexte du traitement
De la portée du traitement
De la finalité du traitement
De l’impact potentiel sur les personnes concernées
En particulier, si les personnes concernées disposent d’informations essentielles ou
qu’elles peuvent formuler des remarques importantes et pertinentes au regard de
l’AIPD

31. Les personnes concernées
Quid si la demande de l’avis de l’ensemble des personnes
concernées est disproportionnée ou irréalisable ?
NB : il est possible de limiter la consultation à certaines catégories de
personnes concernées (pour qui le risque est élevé)
Quid si la demande de l’avis des personnes concernées compromet
d’autres objectifs ?
Par exemple : la confidentialité, le secret d’affaires, …
 Dans ce cas, le responsable de traitement doit
documenter sa motivation de ne pas demander l’avis
des personnes concernées

32. Les personnes concernées
Comment consulter les personnes concernées ? (Recom. 01/2018 de
l’APD, p. 32)
Principe : liberté du responsable de traitement
Exemples :
• Une étude générique relative aux finalités et aux moyens du traitement,
• Une question adressée aux représentants du personnel,
• Par e-mail (s’il dispose des coordonnées de la personne concernée)
• Consultation publique
• …
Pourquoi pas, préalablement, également se concerter avec des organisations de
défense des intérêts des personnes concernées (ou de consommateurs)
!! Formulation des questions  Résultats générés doivent être fiables

33. III. Comment concrètement, réaliser une
AIPD ?

34. Rassembler les bonnes personnes
Le Délégué à la
Protection des Données
(DPD/DPO)
Le département métier
concerné par le
traitement (RG / FM / …)
Le département IT du RT
(Responsable de la sécurité
informatique)
Le(s) sous-traitant(s)
Impliqués dans le
traitement
Le département juridique
du RT
Experts indépendants
(avocats, experts en
sécurité, …) – Conseillé par
le CEPD

35. Le contenu
 Lignes directrices Groupe 29

36. Quelle méthodologie ?
• CEPD, Lignes directrices concernant l’AIPD et la manière de déterminer si le traitement est
susceptible d’engendrer un risque élevé
• Cadres européens génériques :
- DE: Standard Data Protection Model, V.1.0 – Trial version, 201631. https://www.datenschutzzentrum.de/uploads/SDM-
Methodology_V1_EN1.pdf
- ES: Guía para una Evaluación de Impacto en la Protección de Datos Personales (EIPD), Agencia española de protección
de datos (AGPD), 2014.
https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/Guia_EIPD.pdf
- FR: Étude d’impacts sur la vie privée (PIA), Commission nationale de l’informatique et des libertés (CNIL), 2015.
https://www.cnil.fr/fr/etude-dimpacts-sur-la-vie-privee-suivez-la-methode-de-la-cnil
- UK: Conducting privacy impact assessments code of practice, Information Commissioner’s Office (ICO), 2014.
https://ico.org.uk/media/for-organisations/documents/1595/pia-code-of-practice.pdf
• Cadres européens sectoriels :
- Cadre relatif à l’analyse de l’impact sur la vie privée et la protection des données pour les applications
RFID 32. http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-
recommendation/files/2011/wp180_annex_en.pdf
- Modèle d'analyse d'impact sur la protection des données des réseaux intelligents et des systèmes
intelligents de mesure 33
http://ec.europa.eu/energy/sites/ener/files/documents/2014_dpia_smart_grids_forces.pdf

37. Outil PIA de la CNIL

38. Réaliser l’AIPD
1. Description des opérations de traitement
envisagées et des finalités du traitement (art. 35, § 7,
a) RGPD)
Cette description comporte au moins les éléments suivants :
a) La nature, la portée, le contexte et les finalités du traitement (considérant
90 du RGPD) ;
b) Quelles données à caractère personnel, les destinataires et la durée
pendant laquelle les données à caractère personnel seront enregistrées ;
c) Une description fonctionnelle de l’opération de traitement ;
d) Les actifs sur lesquels reposent les données à caractère personnel (par
exemple les matériels, logiciels, réseaux, personnes, documents papier ou
canaux de transmission papier)
e) Le respect de codes de conduite approuvés est pris en compte

39. Par exemple, dans l’outil de la CNIL :

40. Réaliser l’AIPD
2. Évaluation de la nécessité et de la proportionnalité
des opérations de traitement
2.1. au regard des finalités
Critères pour déterminer si les mesures contribuant au respect des
principes de proportionnalité et de nécessité envisagées sont
complètes :
 finalités déterminées, explicites et légitimes (article 5,
paragraphe 1, point b) ;
 licéité du traitement (article 6) ;
 données adéquates, pertinentes et limitées à ce qui est
nécessaire (article 5, paragraphe 1, point c) ;
 durée de conservation limitée (article 5, paragraphe 1, point e)

41. Réaliser l’AIPD
2. Évaluation de la nécessité et de la proportionnalité
des opérations de traitement
2.2. au regard des droits des personnes concernées
Critères pour déterminer si les mesures envisagées contribuant au
respect des droits des personnes concernées sont complètes :
 informations fournies à la personne concernée (articles 12, 13 et 14) ;
 droit d’accès et droit à la portabilité des données (articles 15 et 20) ;
 droit de rectification et droit à l’effacement (articles 16, 17 et 19) ;
 droit d’opposition et droit à la limitation du traitement (articles 18, 19 et
21) ;
 relations avec les sous-traitants (article 28) ;
 garanties entourant le ou les transferts internationaux (chapitre V) ;
 consultation préalable (article 36)

42. Par exemple, dans l’outil de la CNIL :

43. Réaliser l’AIPD
3. Évaluation des risques pour les droits et libertés des
personnes concernées (article 35, paragraphe 7, point c) :
• Risque = un scénario qui décrit un événement (redouté) et ses effets, estimés en
termes de gravité et de probabilité
• Droits et libertés des personnes concernées =
Droit à la vie privée, mais aussi les autres droits fondamentaux
(liberté de parole, de pensée, de circulation, …)

44. Réaliser l’AIPD
3. Évaluation des risques pour les droits et libertés des
personnes concernées (article 35, paragraphe 7, point c) :
a) Evaluation de l’origine, la nature, la particularité et la gravité des risques
(considérant 84) ou, plus spécifiquement, pour chaque risque (par ex. : accès
illégitime aux données, modification non désirée des données, disparition
des données) du point de vue des personnes concernées :
- Prise en compte des sources de risques (considérant 90) ;
- Identification des impacts potentiels sur les droits et libertés des personnes concernées ;
- Prise en compte des menaces qui pourraient conduire à un risque ;
- Evaluation de la probabilité et de la gravité (considérant 90).
b) les mesures envisagées pour faire face à ces risques sont déterminées
(article 35, paragraphe 7, point d), et considérant 90

45. Mesures de sécurité
(techniques/organisationnelles/co
ntractuelles)

46. Par exemple,
dans l’outil de
la CNIL :

47. Réaliser l’AIPD
Guide de la CNIL « Base de connaissance »

48. Réaliser l’AIPD
Par exemple, pour déterminer la gravité du risque
Critères d’analyse (CNIL) (voir point 1.4 de la base de connaissance) :
Négligeable= Limitée= Importante= Maximale=
Les personnes
concernées ne seront
pas impactées ou
pourraient connaître
quelques désagréments,
qu’elles surmonteront
sans difficulté
Les personnes concernées
pourraient connaître des
désagréments significatifs,
qu’elles pourront surmonter
malgré quelques difficultés
Les personnes concernées
pourraient connaître des
conséquences significatives,
qu’elles devraient pouvoir
surmonter, mais avec des
difficultés réelles et
significatives
Les personnes concernées
pourraient connaître des
conséquences significatives,
voire irrémédiables, qu’elles
pourraient ne pas
surmonter

49. IV. Les résultats de l’AIPD et leur
implication

50. Consultation éventuelle de l’Autorité de
Protection des Données
• À la suite de l’AIPD, si les risques résiduels (= càd les risques
subsistant suite à la prise de mesures correctives) sont élevés,
l’autorité de contrôle doit être consultée
• Le droit national pourrait également prévoir certains cas où il
faut consulter l’autorité de contrôle (dans le cadre d’une mission
d’intérêt public par exemple, notamment en matière de
protection sociale et de santé publique)

51. L’Autorité de Protection des Données
• Formulaire de consultation préalable disponible sur le site de
l’APD : Demander une consultation préalable AIPD | Autorité de
protection des données (autoriteprotectiondonnees.be)

52. Faut-il publier l’AIPD ?
• Faut-il publier l’AIPD ?
• Pas d’obligation légale, décision appartient au responsable de
traitement
(Encouragé par l’APD)
• Publication ne doit pas reprendre l’intégralité de l’analyse (!! ne
pas publier les risques en matière de sécurité, ni les secrets d’affaire, ni les
informations sensibles, …)
• Possible de simplement publier un résumé des constatations de l’AIPD
• Ou simplement déclarer qu’une AIPD a été effectuée

53. L’AIPD en tant qu’« outil » de compliance
• L’AIPD est un outil important au regard du
principe d’accountability (art. 24 du RGPD)
• Démontrer que des mesures appropriées ont été
prises pour assurer la conformité au règlement
• Privacy by design (art. 25 du RGPD)
Une activité utile et positive !

54. Merci
pour votre attention !
Des questions ?