SlideShare une entreprise Scribd logo
1  sur  54
ALL OVER THE WORLD
Earlegal – RGPD :
comment réaliser
une analyse
d’impact (AIPD) ?
LA PRÉSENTATION DÉBUTERA À
8H30.
La formation est enregistrée. Veuillez donc couper votre
caméra si vous ne souhaitez pas apparaitre lors de
l'enregistrement.
Présentation et logistique
• Présentation co-organisée par Larcier et Lexing Belgium
• La présentation est enregistrée – possibilité de couper votre
caméra
• La présentation vous sera envoyée par courriel
• Les vidéos seront disponibles en ligne quelques semaines plus
tard : https://lexing.be/academie/earlegal/
Au programme …
• Dans quels cas faut-il (ou ne faut-il pas) effectuer une AIPD ?
• Quels sont les rôles respectifs des « acteurs » du RGPD lors de la
réalisation de l’AIPD ?
• Concrètement, comment réaliser une AIPD ?
• Les résultats de l’AIPD et leur implication
Base légale, définition, objectifs et étendue
Mais d’abord … c’est quoi une
AIPD/DPIA ?
Base légale et concept
• Définition
Règlement Général sur la Protection des Données (RGPD), Article 35, alinéa 1er :
« 1. Lorsqu'un type de traitement, en particulier par le recours à de nouvelles
technologies, et compte tenu de la nature, de la portée, du contexte et des
finalités du traitement, est susceptible d'engendrer un risque élevé pour les
droits et libertés des personnes physiques, le responsable du traitement
effectue, avant le traitement, une analyse de l'impact des opérations de
traitement envisagées sur la protection des données à caractère personnel. Une
seule et même analyse peut porter sur un ensemble d'opérations de traitement
similaires qui présentent des risques élevés similaires. »
Base légale et concept
PROCESSUS
Projet de
Traitement
RISQUE !
 Décrire les traitements
 Évaluer la nécessité et la
proportionnalité des traitements
(= principes fondamentaux)
 Gérer les risques pour les droits
et libertés des PP liés au
traitement de leurs DCP, en :
• évaluant ces risques
• déterminant les mesures
de sécurité nécessaires
pour y faire face
Objectifs poursuivis par l’AIPD
• Permet d’identifier les risques, que l’on peut définir comme « les
scénarios hypothétiques d’événements redoutés »
• Exemple : accès illégitime aux données, modification non désirée des
données, disparition des données
• Permet de minimiser les risques en adoptant des mesures
correctives de sécurité (ou en adaptant des mesures existantes)
• à un stade précoce
• Exemple : avant la mise en production d’un produit/une application
qui collecte des données, pour éviter tout problème par la suite …
Objectifs poursuivis par l’AIPD
• Protéger les droits et libertés des personnes
physiques concernées
• = Droit à la vie privée/protection des données
Mais aussi :
• = les autres droits fondamentaux : droit à la non-
discrimination, liberté de circulation, liberté de conscience,
liberté de religion, etc.
Étendue de l’AIPD
• Pour un ou plusieurs traitement(s) de données
 Pas obligatoire pour chaque opération de traitement
 Uniquement pour le ou les traitement(s) présentant un risque
élevé pour les droits et libertés des PP
• Une seule et même analyse peut porter sur un ensemble
d'opérations de traitement similaires qui présentent des risques
élevés similaires
Le cycle de l’AIPD
• Il faut l’effectuer le plut tôt possible
dans le processus de conception du
traitement (Privacy by design, Privacy
by default)
• Même si toutes les opérations de
traitement ne sont pas encore connues
• L’AIPD, pendant sa réalisation, devra être
régulièrement mise à jour
• Certaines étapes seront répétées
// processus itératif en matière de
développement informatique
Obligation d’accountability
• Capacité du responsable du
traitement à démontrer que
des mesures appropriées
ont été prises pour assurer
la conformité au règlement
Quid si je ne réalise pas une AIPD
normalement obligatoire ?
• En cas de :
- Non réalisation d’une AIPD alors que le traitement était
soumis à l’obligation d’une telle analyse (art. 35, §§ 1, 3 et 4) ;
- Réalisation de l’AIPD de manière incorrecte (art. 35, §§ 2 et 7
à 99)
- Défaut de consultation de l’APD alors que la situation
l’exigeait (art. 36, § 3, point e))
Des sanctions sont possibles …
Autorité de Protection des
onnées
Réputation &
Confiance
Argument commercial
• Contrôle croissant de l’APD
(plainte ou initiative)
• Contrôle le respect du RGPD +
ePrivacy
• Sanctions renforcées
Max. 20.000.000 EUR ou 4%
du CA annuel mondial
Être "RGPD-compliant"
 un argument
commercial
Enjeux
Zone blanche, zone grise, zone noire
I. Dans quels cas faut-il (ou ne faut-il
pas) effectuer une AIPD ?
Application temporelle
Application temporelle :
 Nouveaux traitements depuis le 25 mai 2018
 Traitements existants avant le 25 mai 2018, mais présentant un changement
• Modification de technologie
• Modification de méthode de collecte de données
• Modification de l'ampleur des données collectées
• Modification des catégories de données collectées
• …
25 mai 2018
Trois « zones »
3
Cas
obligatoires
RGPD
8
Cas
obligatoires
APD
Décision
01/2019
9
Cas exonérés
APD
Recom.
01/2018
?
CEPD
Lignes
wp248
9 critères
= ou > 2 crit.
rencontrés
 AIPD
Zone noire : 3 cas repris dans le RGPD
• Art. 35.3. du RGPD - Dans les 3 cas
suivants :
1. L'évaluation systématique et
approfondie d'aspects personnels par
traitement automatisé (profilage),
menant à des décisions produisant des
effets juridiques à l'égard d'une
personne ou l'affectant de manière
significative;
2. Le traitement à grande échelle de
catégories particulières de données ;
3. La surveillance systématique à grande
échelle d'une zone accessible au public.
 Suivi
 Régulier
(fréquence)
 Systématique
(méthode)
Zone noire : 8 cas rajoutés par l’APD
1) Si le traitement utilise des données biométriques pour
identifier de façon unique des personnes se trouvant dans
un lieu public ou dans un lieu privé accessible au public.
2) Si des données sont collectées auprès de tiers afin de
refuser ou de cesser un contrat de services déterminé avec
une personne.
3) Si des données de santé sont collectées
automatiquement à l’aide d’un dispositif médical
implantable actif.
4) Si des données sont collectées à grande échelle auprès
de tiers afin d'analyser ou prédire la situation économique,
la santé, les préférences, centres d’intérêts, la fiabilité, le
comportement, la localisation et les déplacements d’une
personne,
Zone noire : 8 cas rajoutés par l’APD
5) Echange systématique de données particulières ou des données
concernant la pauvreté/le chômage/l’implication de l’aide à la
jeunesse/le travail social/les activités domestiques et
privées/les données de localisation entre plusieurs responsables du
traitement.
6)Traitement à grande échelle de données générées au moyen
d'appareils dotés de capteurs qui envoient des données via Internet
ou un autre moyen (IoT, « smart cities », etc.), ce traitement servant
à analyser/prédire la situation économique, la santé, les préférences,
centres d’intérêt, …
7) Traitement à grande échelle ou systématique de données de
communication, métadonnées, données de localisation, sans que ce
traitement ne soit strictement nécessaire pour le service demandé, (ex:
wifi-tracking, localisation des voyageurs dans les transports publics, …)
8) Si on observe le comportement de personnes de manière
systématique via un traitement automatisé à grande échelle, y
compris à des fins publicitaires (il n’est pas nécessaire qu’une décision
négative soit prise à l’encontre de la personne concernée, le seul suivi
du comportement suffit).
Zone blanche : 9 cas exonérés
1) nécessaires pour répondre à une obligation légale (pour
autant que la loi définisse précisément les conditions du
traitement).
2) nécessaires à l’administration des salaires.
3) qui concernent exclusivement l’administration du
personnel en service. Cependant, cette exonération tombe
dès que le traitement porte sur des données relatives à la
santé, des données particulières ou des données pénales, ce
qui sera fréquemment le cas.
4) qui concernent exclusivement la comptabilité.
5) qui concernent exclusivement l’administration des
actionnaires et associés.
Zone blanche : 9 cas exonérés
6) effectués par une fondation, association ou toute autre institution
sans but lucratif dans le cadre de ses activités habituelles et qui
portent uniquement sur des données relatives à ses propres membres,
aux personnes avec lesquelles elle entretient des contacts réguliers ou
aux bénéficiaires de cette institution et pour autant qu’aucune base de
données obtenue de tiers ne soit utilisée.
7) portant sur l’enregistrement des visiteurs dans le cadre d’un
contrôle d’accès, pour autant que vous vous limitiez à noter le nom,
l’adresse professionnelle, l’employeur, le véhicule, le nom, la section et
la fonction de la personne visitée, le moment de la visite.
8) par les écoles en vue de la gestion de leurs relations avec les élèves
potentiels, actuels et anciens.
9) Portant que la gestion de la clientèle ou des fournisseurs existants
ou anciens. Cette exonération tombe également dès que sont traitées
les données des catégories particulières de données ou des données
pénales ou des données provenant d’un tiers.
Zone blanche
• Est également exonéré d’AIPD le traitement de données similaire à
un traitement pour lequel une AIPD a déjà été réalisée.
Exemple : lorsque l’on utilise des technologies similaires pour collecter le
même type de données pour les mêmes finalités
En conséquence, l’AIPD de référence doit être partagée ou rendue
publiquement accessible
Exemples :
- Un groupe d’autorités municipales mettant chacune en place
un système similaire de surveillance
- Un opérateur ferroviaire pourrait couvrir la vidéosurveillance de
l’ensemble de ses gares au moyen d’une seule et même AIPD
Zone grise
• CEPD (ancien Groupe Article 29)
• Le responsable du traitement doit évaluer lui-même si le traitement
présente un risque élevé pour les droits et libertés des personnes
concernées
• Evaluation au moyen de 9 critères
• 2 critères rencontrés  AIPD est présumée nécessaire
• À moins que le responsable de traitement estime qu’il n’y a pas de risque
élevé pour les personnes concernées. Dans ce cas, il doit motiver et
documenter son raisonnement
Zone grise
2 critères (ou +)
rencontrés ?
Données
particulières,
pénales,
hautement
perso.
Personnes
vulnérables
Grande
échelle
Croiser des
ensembles
Prendre une
décision
automatisée
avec effet
juridique
Empêcher
d’exercer un
droit ou de
bénéficier d’un
service/contrat
Surveiller
systématique-
ment
Évaluer
(rendement,
situation éco,
santé,
préférences, …)
Utiliser des
nouvelles
solutions
techno./orga.
- Au plus il y a de critères
remplis, au plus le risque
est élevé …
- Le responsable du
traitement pourrait
considérer que même si un
seul critère est rempli, une
AIPD doit être faite
Synthèse
II. Parties impliquées dans la réalisation
de l’AIPD
Le responsable du traitement
• = celui qui détermine les finalités et moyens du traitement
• C’est à lui qu’incombe la réalisation de l’AIPD
• Il est responsable de la bonne réalisation de l’AIPD
• Si l’AIPD n’est pas ou est mal réalisée alors qu’elle est obligatoire, il doit
rendre des comptes
• Même en cas de délégation de la tâche de réalisation de l’AIPD, le
responsable de traitement reste le responsable de cette tâche
Le sous-traitant
• = agit pour le compte du responsable du traitement
Exemple : hébergeur/gestionnaire d’une application de géolocalisation,
prestataire informatique, gestionnaire d’un serveur, …
• Doit apporter son aide au responsable de traitement (Article 28, alinéa 3, f)
du RGPD)
• Si nécessaire et sur demande
• Quel degré d’assistance du sous-traitant ?
(recommandation 01/2018 de l’APD) Ce degré est déterminé
« à la lumière de :
(1) la nature du traitement
(2) les informations mises à disposition du sous-traitant
(3) l’opportunité de l’aide du sous-traitant afin de parvenir à une analyse et à une
gestion des risques correctes et de qualité. »
Le délégué à la protection des données
• Rôle consultatif (décisionnel) (Article 35, alinéa 2 du RGPD)
• Il convient de solliciter son avis sur les questions suivantes :
 Faut-il ou non procéder à une AIPD ?
 Quelle méthodologie suivre lors de la réalisation d’une AIPD ?
 Effectuer l’AIPD en interne ou la sous-traiter ?
 Quelles mesures (en ce compris les mesures techniques et organisationnelles) adopter pour
atténuer les risques éventuels pesant sur les droits et les intérêts des personnes concernées ?
 L’AIPD a-t-elle été correctement réalisée ?
 Est-il opportun ou non de procéder au traitement et, dans l’affirmative, sous quelles garanties ?
 Les conclusions de l’AIPD sont-elles conformes aux exigences en matière de protection des
données ?
Les personnes concernées
• Le cas échéant, il convient de demander l’avis des personnes concernées ou
de leurs représentants
• Décision de consulter ou non les personnes concernées revient au
responsable de traitement
• Choix totalement libre du responsable de traitement ?
• NON
• Il est nécessaire de consulter les personnes concernées s’il existe suffisamment de
motifs importants de procéder à la consultation, compte tenu de :
La nature du traitement
Du contexte du traitement
De la portée du traitement
De la finalité du traitement
De l’impact potentiel sur les personnes concernées
En particulier, si les personnes concernées disposent d’informations essentielles ou
qu’elles peuvent formuler des remarques importantes et pertinentes au regard de
l’AIPD
Les personnes concernées
Quid si la demande de l’avis de l’ensemble des personnes
concernées est disproportionnée ou irréalisable ?
NB : il est possible de limiter la consultation à certaines catégories de
personnes concernées (pour qui le risque est élevé)
Quid si la demande de l’avis des personnes concernées compromet
d’autres objectifs ?
Par exemple : la confidentialité, le secret d’affaires, …
 Dans ce cas, le responsable de traitement doit
documenter sa motivation de ne pas demander l’avis
des personnes concernées
Les personnes concernées
Comment consulter les personnes concernées ? (Recom. 01/2018 de
l’APD, p. 32)
Principe : liberté du responsable de traitement
Exemples :
• Une étude générique relative aux finalités et aux moyens du traitement,
• Une question adressée aux représentants du personnel,
• Par e-mail (s’il dispose des coordonnées de la personne concernée)
• Consultation publique
• …
Pourquoi pas, préalablement, également se concerter avec des organisations de
défense des intérêts des personnes concernées (ou de consommateurs)
!! Formulation des questions  Résultats générés doivent être fiables
III. Comment concrètement, réaliser une
AIPD ?
Rassembler les bonnes personnes
Le Délégué à la
Protection des Données
(DPD/DPO)
Le département métier
concerné par le
traitement (RG / FM / …)
Le département IT du RT
(Responsable de la sécurité
informatique)
Le(s) sous-traitant(s)
Impliqués dans le
traitement
Le département juridique
du RT
Experts indépendants
(avocats, experts en
sécurité, …) – Conseillé par
le CEPD
Le contenu
 Lignes directrices Groupe 29
Quelle méthodologie ?
• CEPD, Lignes directrices concernant l’AIPD et la manière de déterminer si le traitement est
susceptible d’engendrer un risque élevé
• Cadres européens génériques :
- DE: Standard Data Protection Model, V.1.0 – Trial version, 201631. https://www.datenschutzzentrum.de/uploads/SDM-
Methodology_V1_EN1.pdf
- ES: Guía para una Evaluación de Impacto en la Protección de Datos Personales (EIPD), Agencia española de protección
de datos (AGPD), 2014.
https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/Guia_EIPD.pdf
- FR: Étude d’impacts sur la vie privée (PIA), Commission nationale de l’informatique et des libertés (CNIL), 2015.
https://www.cnil.fr/fr/etude-dimpacts-sur-la-vie-privee-suivez-la-methode-de-la-cnil
- UK: Conducting privacy impact assessments code of practice, Information Commissioner’s Office (ICO), 2014.
https://ico.org.uk/media/for-organisations/documents/1595/pia-code-of-practice.pdf
• Cadres européens sectoriels :
- Cadre relatif à l’analyse de l’impact sur la vie privée et la protection des données pour les applications
RFID 32. http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-
recommendation/files/2011/wp180_annex_en.pdf
- Modèle d'analyse d'impact sur la protection des données des réseaux intelligents et des systèmes
intelligents de mesure 33
http://ec.europa.eu/energy/sites/ener/files/documents/2014_dpia_smart_grids_forces.pdf
Outil PIA de la CNIL
Réaliser l’AIPD
1. Description des opérations de traitement
envisagées et des finalités du traitement (art. 35, § 7,
a) RGPD)
Cette description comporte au moins les éléments suivants :
a) La nature, la portée, le contexte et les finalités du traitement (considérant
90 du RGPD) ;
b) Quelles données à caractère personnel, les destinataires et la durée
pendant laquelle les données à caractère personnel seront enregistrées ;
c) Une description fonctionnelle de l’opération de traitement ;
d) Les actifs sur lesquels reposent les données à caractère personnel (par
exemple les matériels, logiciels, réseaux, personnes, documents papier ou
canaux de transmission papier)
e) Le respect de codes de conduite approuvés est pris en compte
Par exemple, dans l’outil de la CNIL :
Réaliser l’AIPD
2. Évaluation de la nécessité et de la proportionnalité
des opérations de traitement
2.1. au regard des finalités
Critères pour déterminer si les mesures contribuant au respect des
principes de proportionnalité et de nécessité envisagées sont
complètes :
 finalités déterminées, explicites et légitimes (article 5,
paragraphe 1, point b) ;
 licéité du traitement (article 6) ;
 données adéquates, pertinentes et limitées à ce qui est
nécessaire (article 5, paragraphe 1, point c) ;
 durée de conservation limitée (article 5, paragraphe 1, point e)
Réaliser l’AIPD
2. Évaluation de la nécessité et de la proportionnalité
des opérations de traitement
2.2. au regard des droits des personnes concernées
Critères pour déterminer si les mesures envisagées contribuant au
respect des droits des personnes concernées sont complètes :
 informations fournies à la personne concernée (articles 12, 13 et 14) ;
 droit d’accès et droit à la portabilité des données (articles 15 et 20) ;
 droit de rectification et droit à l’effacement (articles 16, 17 et 19) ;
 droit d’opposition et droit à la limitation du traitement (articles 18, 19 et
21) ;
 relations avec les sous-traitants (article 28) ;
 garanties entourant le ou les transferts internationaux (chapitre V) ;
 consultation préalable (article 36)
Par exemple, dans l’outil de la CNIL :
Réaliser l’AIPD
3. Évaluation des risques pour les droits et libertés des
personnes concernées (article 35, paragraphe 7, point c) :
• Risque = un scénario qui décrit un événement (redouté) et ses effets, estimés en
termes de gravité et de probabilité
• Droits et libertés des personnes concernées =
Droit à la vie privée, mais aussi les autres droits fondamentaux
(liberté de parole, de pensée, de circulation, …)
Réaliser l’AIPD
3. Évaluation des risques pour les droits et libertés des
personnes concernées (article 35, paragraphe 7, point c) :
a) Evaluation de l’origine, la nature, la particularité et la gravité des risques
(considérant 84) ou, plus spécifiquement, pour chaque risque (par ex. : accès
illégitime aux données, modification non désirée des données, disparition
des données) du point de vue des personnes concernées :
- Prise en compte des sources de risques (considérant 90) ;
- Identification des impacts potentiels sur les droits et libertés des personnes concernées ;
- Prise en compte des menaces qui pourraient conduire à un risque ;
- Evaluation de la probabilité et de la gravité (considérant 90).
b) les mesures envisagées pour faire face à ces risques sont déterminées
(article 35, paragraphe 7, point d), et considérant 90
Mesures de sécurité
(techniques/organisationnelles/co
ntractuelles)
Par exemple,
dans l’outil de
la CNIL :
Réaliser l’AIPD
Guide de la CNIL « Base de connaissance »
Réaliser l’AIPD
Par exemple, pour déterminer la gravité du risque
Critères d’analyse (CNIL) (voir point 1.4 de la base de connaissance) :
Négligeable= Limitée= Importante= Maximale=
Les personnes
concernées ne seront
pas impactées ou
pourraient connaître
quelques désagréments,
qu’elles surmonteront
sans difficulté
Les personnes concernées
pourraient connaître des
désagréments significatifs,
qu’elles pourront surmonter
malgré quelques difficultés
Les personnes concernées
pourraient connaître des
conséquences significatives,
qu’elles devraient pouvoir
surmonter, mais avec des
difficultés réelles et
significatives
Les personnes concernées
pourraient connaître des
conséquences significatives,
voire irrémédiables, qu’elles
pourraient ne pas
surmonter
IV. Les résultats de l’AIPD et leur
implication
Consultation éventuelle de l’Autorité de
Protection des Données
• À la suite de l’AIPD, si les risques résiduels (= càd les risques
subsistant suite à la prise de mesures correctives) sont élevés,
l’autorité de contrôle doit être consultée
• Le droit national pourrait également prévoir certains cas où il
faut consulter l’autorité de contrôle (dans le cadre d’une mission
d’intérêt public par exemple, notamment en matière de
protection sociale et de santé publique)
L’Autorité de Protection des Données
• Formulaire de consultation préalable disponible sur le site de
l’APD : Demander une consultation préalable AIPD | Autorité de
protection des données (autoriteprotectiondonnees.be)
Faut-il publier l’AIPD ?
• Faut-il publier l’AIPD ?
• Pas d’obligation légale, décision appartient au responsable de
traitement
(Encouragé par l’APD)
• Publication ne doit pas reprendre l’intégralité de l’analyse (!! ne
pas publier les risques en matière de sécurité, ni les secrets d’affaire, ni les
informations sensibles, …)
• Possible de simplement publier un résumé des constatations de l’AIPD
• Ou simplement déclarer qu’une AIPD a été effectuée
L’AIPD en tant qu’« outil » de compliance
• L’AIPD est un outil important au regard du
principe d’accountability (art. 24 du RGPD)
• Démontrer que des mesures appropriées ont été
prises pour assurer la conformité au règlement
• Privacy by design (art. 25 du RGPD)
Une activité utile et positive !
Merci
pour votre attention !
Des questions ?

Contenu connexe

Tendances

Tendances (20)

earlegal #11 - Le droit de la distribution et les coopérations entre entrepri...
earlegal #11 - Le droit de la distribution et les coopérations entre entrepri...earlegal #11 - Le droit de la distribution et les coopérations entre entrepri...
earlegal #11 - Le droit de la distribution et les coopérations entre entrepri...
 
C'est quoi le RGPD ?
C'est quoi le RGPD ?C'est quoi le RGPD ?
C'est quoi le RGPD ?
 
Cours éthique et droit liés aux données numériques
Cours éthique et droit liés aux données numériquesCours éthique et droit liés aux données numériques
Cours éthique et droit liés aux données numériques
 
METHODE OCTAVE
METHODE OCTAVE METHODE OCTAVE
METHODE OCTAVE
 
The principles of the Data Protection Act in detail - uk
The principles of the Data Protection Act in detail - ukThe principles of the Data Protection Act in detail - uk
The principles of the Data Protection Act in detail - uk
 
Ged
Ged Ged
Ged
 
Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'information
 
earlegal #9 - Archivage et destruction de documents : comment s'y prendre ?
earlegal #9 - Archivage et destruction de documents : comment s'y prendre ?earlegal #9 - Archivage et destruction de documents : comment s'y prendre ?
earlegal #9 - Archivage et destruction de documents : comment s'y prendre ?
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SI
 
PCI DSS - SSC ... C'est Quoi ?
PCI DSS - SSC ... C'est Quoi ?PCI DSS - SSC ... C'est Quoi ?
PCI DSS - SSC ... C'est Quoi ?
 
SYSTEMES-INTERACTIFS-D-AIDE-A-LA-DECISION-SIAD-1.pdf
SYSTEMES-INTERACTIFS-D-AIDE-A-LA-DECISION-SIAD-1.pdfSYSTEMES-INTERACTIFS-D-AIDE-A-LA-DECISION-SIAD-1.pdf
SYSTEMES-INTERACTIFS-D-AIDE-A-LA-DECISION-SIAD-1.pdf
 
Cours Base de données relationnelles
Cours Base de données relationnellesCours Base de données relationnelles
Cours Base de données relationnelles
 
Afcdp 2017 mesures de protection des dcp
Afcdp 2017 mesures de protection des dcpAfcdp 2017 mesures de protection des dcp
Afcdp 2017 mesures de protection des dcp
 
Data Mining (Partie 1).pdf
Data Mining (Partie 1).pdfData Mining (Partie 1).pdf
Data Mining (Partie 1).pdf
 
Les défis de l'archivage numérique (Fr)
Les défis de l'archivage numérique (Fr)Les défis de l'archivage numérique (Fr)
Les défis de l'archivage numérique (Fr)
 
Sécurité de l’information et gouvernance
Sécurité de l’information et gouvernanceSécurité de l’information et gouvernance
Sécurité de l’information et gouvernance
 
ISO 27500
ISO 27500ISO 27500
ISO 27500
 
Introduction au droit informatique
Introduction au droit informatiqueIntroduction au droit informatique
Introduction au droit informatique
 
Préservation par la numérisation
Préservation par la numérisationPréservation par la numérisation
Préservation par la numérisation
 
earlegal #9 - Marketing digital - vérifiez la conformité RGPD de vos campagnes
earlegal #9 - Marketing digital - vérifiez la conformité RGPD de vos campagnesearlegal #9 - Marketing digital - vérifiez la conformité RGPD de vos campagnes
earlegal #9 - Marketing digital - vérifiez la conformité RGPD de vos campagnes
 

Similaire à earlegal#9 - RGPD : Comment réaliser une analyse d impact.pptx

Cnil - Guide Travail
Cnil - Guide TravailCnil - Guide Travail
Cnil - Guide Travail
foxshare
 
Afcpd eivp et maturite d'org 1
Afcpd eivp et maturite d'org 1Afcpd eivp et maturite d'org 1
Afcpd eivp et maturite d'org 1
Denis VIROLE
 

Similaire à earlegal#9 - RGPD : Comment réaliser une analyse d impact.pptx (20)

Le partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekLe partenariat Virtualegis Nystek
Le partenariat Virtualegis Nystek
 
Obligations RGPD : Comment-agir ?
Obligations RGPD : Comment-agir ?Obligations RGPD : Comment-agir ?
Obligations RGPD : Comment-agir ?
 
Cnil - Guide Travail
Cnil - Guide TravailCnil - Guide Travail
Cnil - Guide Travail
 
Le RGPD, véritable opportunité vers la gouvernance de l’information
Le RGPD, véritable opportunité vers la gouvernance de l’informationLe RGPD, véritable opportunité vers la gouvernance de l’information
Le RGPD, véritable opportunité vers la gouvernance de l’information
 
Conférence Maître LAMACHI-ELKILANI ACSS 2018
Conférence Maître LAMACHI-ELKILANI ACSS 2018Conférence Maître LAMACHI-ELKILANI ACSS 2018
Conférence Maître LAMACHI-ELKILANI ACSS 2018
 
Atelier 8 - RGPD - Conférence Thierry Preel 2019
Atelier 8 - RGPD - Conférence Thierry Preel 2019Atelier 8 - RGPD - Conférence Thierry Preel 2019
Atelier 8 - RGPD - Conférence Thierry Preel 2019
 
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
 
ISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPDISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPD
 
ISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPDISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPD
 
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
 
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
 
Afcpd eivp et maturite d'org 1
Afcpd eivp et maturite d'org 1Afcpd eivp et maturite d'org 1
Afcpd eivp et maturite d'org 1
 
Le GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - DiaporamaLe GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - Diaporama
 
Free Sample : Le RGPD-GDPR les fondamentaux
Free Sample : Le RGPD-GDPR les fondamentauxFree Sample : Le RGPD-GDPR les fondamentaux
Free Sample : Le RGPD-GDPR les fondamentaux
 
CNIL et RGPD : lignes directrices des Analyses d'Impact relatives à la Protec...
CNIL et RGPD : lignes directrices des Analyses d'Impact relatives à la Protec...CNIL et RGPD : lignes directrices des Analyses d'Impact relatives à la Protec...
CNIL et RGPD : lignes directrices des Analyses d'Impact relatives à la Protec...
 
Club Excellence Opérationnelle : RGPD pour les TPE/PME
Club Excellence Opérationnelle : RGPD pour les TPE/PMEClub Excellence Opérationnelle : RGPD pour les TPE/PME
Club Excellence Opérationnelle : RGPD pour les TPE/PME
 
Comment se mettre en conformité avec le GDPR ?
Comment se mettre en conformité avec le GDPR ?Comment se mettre en conformité avec le GDPR ?
Comment se mettre en conformité avec le GDPR ?
 
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
 
La protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATALa protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATA
 
Workshop CNIL
Workshop CNILWorkshop CNIL
Workshop CNIL
 

Plus de Lexing - Belgium

Plus de Lexing - Belgium (20)

Earlegal - La protection du consommateur liée au numérique : les nouveautés ?
Earlegal - La protection du consommateur liée au numérique : les nouveautés ?Earlegal - La protection du consommateur liée au numérique : les nouveautés ?
Earlegal - La protection du consommateur liée au numérique : les nouveautés ?
 
earlegal #11 - Expropriation et dépollution en Wallonie : comment réagir ?
earlegal #11 - Expropriation et dépollution en Wallonie : comment réagir ?earlegal #11 - Expropriation et dépollution en Wallonie : comment réagir ?
earlegal #11 - Expropriation et dépollution en Wallonie : comment réagir ?
 
earlegal #11 - IA en plein essor : réinventer le droit pour un cadre adapté ?
earlegal #11 - IA en plein essor : réinventer le droit pour un cadre adapté ?earlegal #11 - IA en plein essor : réinventer le droit pour un cadre adapté ?
earlegal #11 - IA en plein essor : réinventer le droit pour un cadre adapté ?
 
Earlegal #11 - BIM et Smartbuilding : comment concilier les briques et les cl...
Earlegal #11 - BIM et Smartbuilding : comment concilier les briques et les cl...Earlegal #11 - BIM et Smartbuilding : comment concilier les briques et les cl...
Earlegal #11 - BIM et Smartbuilding : comment concilier les briques et les cl...
 
earlegal #11 - Imprévus sur chantier en MP - comment s'adapter ?
earlegal #11 - Imprévus sur chantier en MP - comment s'adapter ?earlegal #11 - Imprévus sur chantier en MP - comment s'adapter ?
earlegal #11 - Imprévus sur chantier en MP - comment s'adapter ?
 
Earlegal #11 - Cybersécurité : quels défis pour votre entreprise ?
Earlegal #11 -  Cybersécurité : quels défis pour votre entreprise ?Earlegal #11 -  Cybersécurité : quels défis pour votre entreprise ?
Earlegal #11 - Cybersécurité : quels défis pour votre entreprise ?
 
earlegal #11 - Innover dans l'immobilier : comment transformer un immeuble en...
earlegal #11 - Innover dans l'immobilier : comment transformer un immeuble en...earlegal #11 - Innover dans l'immobilier : comment transformer un immeuble en...
earlegal #11 - Innover dans l'immobilier : comment transformer un immeuble en...
 
Earlegal #11 - Techno-sécurité : données biométriques et reconnaissance faciale
Earlegal #11 - Techno-sécurité : données biométriques et reconnaissance facialeEarlegal #11 - Techno-sécurité : données biométriques et reconnaissance faciale
Earlegal #11 - Techno-sécurité : données biométriques et reconnaissance faciale
 
earlegal – Comment tirer parti des règlements DSA/DMA ?
earlegal – Comment tirer parti des règlements DSA/DMA ?earlegal – Comment tirer parti des règlements DSA/DMA ?
earlegal – Comment tirer parti des règlements DSA/DMA ?
 
earlegal#10 - Difficultés financières d’un sous-traitant, quelles précautions ?
earlegal#10 - Difficultés financières d’un sous-traitant, quelles précautions ?earlegal#10 - Difficultés financières d’un sous-traitant, quelles précautions ?
earlegal#10 - Difficultés financières d’un sous-traitant, quelles précautions ?
 
earlegal#10 - Recours à l'IA : comment anticiper le futur cadre juridique ?
earlegal#10 - Recours à l'IA  : comment anticiper le futur cadre juridique ?earlegal#10 - Recours à l'IA  : comment anticiper le futur cadre juridique ?
earlegal#10 - Recours à l'IA : comment anticiper le futur cadre juridique ?
 
earlegal#10 - Infractions urbanistiques en RW - Comment en sortir ?
earlegal#10 - Infractions urbanistiques en RW - Comment en sortir ?earlegal#10 - Infractions urbanistiques en RW - Comment en sortir ?
earlegal#10 - Infractions urbanistiques en RW - Comment en sortir ?
 
earlegal#10 - Comment se préparer à un contrôle de l'Autorité de protection d...
earlegal#10 - Comment se préparer à un contrôle de l'Autorité de protection d...earlegal#10 - Comment se préparer à un contrôle de l'Autorité de protection d...
earlegal#10 - Comment se préparer à un contrôle de l'Autorité de protection d...
 
Earlegal #10 - nouveau Code civil - impact en droit de la construction - 16 d...
Earlegal #10 - nouveau Code civil - impact en droit de la construction - 16 d...Earlegal #10 - nouveau Code civil - impact en droit de la construction - 16 d...
Earlegal #10 - nouveau Code civil - impact en droit de la construction - 16 d...
 
earlegal#10 - Open Source : Quelles sont les bonnes pratiques ? - 18 novembre...
earlegal#10 - Open Source : Quelles sont les bonnes pratiques ? - 18 novembre...earlegal#10 - Open Source : Quelles sont les bonnes pratiques ? - 18 novembre...
earlegal#10 - Open Source : Quelles sont les bonnes pratiques ? - 18 novembre...
 
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
 
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
 
Earlegal #10 - attribution de marchés publics - 4 questions - 16 septembre 2...
Earlegal #10 - attribution de marchés publics - 4 questions  - 16 septembre 2...Earlegal #10 - attribution de marchés publics - 4 questions  - 16 septembre 2...
Earlegal #10 - attribution de marchés publics - 4 questions - 16 septembre 2...
 
earlegal #9 - « Tout augmente ma bonne dame ! » - Comment adapter les prix da...
earlegal #9 - « Tout augmente ma bonne dame ! » - Comment adapter les prix da...earlegal #9 - « Tout augmente ma bonne dame ! » - Comment adapter les prix da...
earlegal #9 - « Tout augmente ma bonne dame ! » - Comment adapter les prix da...
 
earlegal #9 - Comment faire face à des problèmes d’exécution (marché public) ?
earlegal #9 - Comment faire face à des problèmes d’exécution (marché public) ?earlegal #9 - Comment faire face à des problèmes d’exécution (marché public) ?
earlegal #9 - Comment faire face à des problèmes d’exécution (marché public) ?
 

earlegal#9 - RGPD : Comment réaliser une analyse d impact.pptx

  • 1. ALL OVER THE WORLD Earlegal – RGPD : comment réaliser une analyse d’impact (AIPD) ? LA PRÉSENTATION DÉBUTERA À 8H30. La formation est enregistrée. Veuillez donc couper votre caméra si vous ne souhaitez pas apparaitre lors de l'enregistrement.
  • 2. Présentation et logistique • Présentation co-organisée par Larcier et Lexing Belgium • La présentation est enregistrée – possibilité de couper votre caméra • La présentation vous sera envoyée par courriel • Les vidéos seront disponibles en ligne quelques semaines plus tard : https://lexing.be/academie/earlegal/
  • 3. Au programme … • Dans quels cas faut-il (ou ne faut-il pas) effectuer une AIPD ? • Quels sont les rôles respectifs des « acteurs » du RGPD lors de la réalisation de l’AIPD ? • Concrètement, comment réaliser une AIPD ? • Les résultats de l’AIPD et leur implication
  • 4. Base légale, définition, objectifs et étendue Mais d’abord … c’est quoi une AIPD/DPIA ?
  • 5. Base légale et concept • Définition Règlement Général sur la Protection des Données (RGPD), Article 35, alinéa 1er : « 1. Lorsqu'un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l'impact des opérations de traitement envisagées sur la protection des données à caractère personnel. Une seule et même analyse peut porter sur un ensemble d'opérations de traitement similaires qui présentent des risques élevés similaires. »
  • 6. Base légale et concept PROCESSUS Projet de Traitement RISQUE !  Décrire les traitements  Évaluer la nécessité et la proportionnalité des traitements (= principes fondamentaux)  Gérer les risques pour les droits et libertés des PP liés au traitement de leurs DCP, en : • évaluant ces risques • déterminant les mesures de sécurité nécessaires pour y faire face
  • 7. Objectifs poursuivis par l’AIPD • Permet d’identifier les risques, que l’on peut définir comme « les scénarios hypothétiques d’événements redoutés » • Exemple : accès illégitime aux données, modification non désirée des données, disparition des données • Permet de minimiser les risques en adoptant des mesures correctives de sécurité (ou en adaptant des mesures existantes) • à un stade précoce • Exemple : avant la mise en production d’un produit/une application qui collecte des données, pour éviter tout problème par la suite …
  • 8. Objectifs poursuivis par l’AIPD • Protéger les droits et libertés des personnes physiques concernées • = Droit à la vie privée/protection des données Mais aussi : • = les autres droits fondamentaux : droit à la non- discrimination, liberté de circulation, liberté de conscience, liberté de religion, etc.
  • 9. Étendue de l’AIPD • Pour un ou plusieurs traitement(s) de données  Pas obligatoire pour chaque opération de traitement  Uniquement pour le ou les traitement(s) présentant un risque élevé pour les droits et libertés des PP • Une seule et même analyse peut porter sur un ensemble d'opérations de traitement similaires qui présentent des risques élevés similaires
  • 10. Le cycle de l’AIPD • Il faut l’effectuer le plut tôt possible dans le processus de conception du traitement (Privacy by design, Privacy by default) • Même si toutes les opérations de traitement ne sont pas encore connues • L’AIPD, pendant sa réalisation, devra être régulièrement mise à jour • Certaines étapes seront répétées // processus itératif en matière de développement informatique
  • 11. Obligation d’accountability • Capacité du responsable du traitement à démontrer que des mesures appropriées ont été prises pour assurer la conformité au règlement
  • 12. Quid si je ne réalise pas une AIPD normalement obligatoire ? • En cas de : - Non réalisation d’une AIPD alors que le traitement était soumis à l’obligation d’une telle analyse (art. 35, §§ 1, 3 et 4) ; - Réalisation de l’AIPD de manière incorrecte (art. 35, §§ 2 et 7 à 99) - Défaut de consultation de l’APD alors que la situation l’exigeait (art. 36, § 3, point e)) Des sanctions sont possibles …
  • 13. Autorité de Protection des onnées Réputation & Confiance Argument commercial • Contrôle croissant de l’APD (plainte ou initiative) • Contrôle le respect du RGPD + ePrivacy • Sanctions renforcées Max. 20.000.000 EUR ou 4% du CA annuel mondial Être "RGPD-compliant"  un argument commercial Enjeux
  • 14. Zone blanche, zone grise, zone noire I. Dans quels cas faut-il (ou ne faut-il pas) effectuer une AIPD ?
  • 15. Application temporelle Application temporelle :  Nouveaux traitements depuis le 25 mai 2018  Traitements existants avant le 25 mai 2018, mais présentant un changement • Modification de technologie • Modification de méthode de collecte de données • Modification de l'ampleur des données collectées • Modification des catégories de données collectées • … 25 mai 2018
  • 16. Trois « zones » 3 Cas obligatoires RGPD 8 Cas obligatoires APD Décision 01/2019 9 Cas exonérés APD Recom. 01/2018 ? CEPD Lignes wp248 9 critères = ou > 2 crit. rencontrés  AIPD
  • 17. Zone noire : 3 cas repris dans le RGPD • Art. 35.3. du RGPD - Dans les 3 cas suivants : 1. L'évaluation systématique et approfondie d'aspects personnels par traitement automatisé (profilage), menant à des décisions produisant des effets juridiques à l'égard d'une personne ou l'affectant de manière significative; 2. Le traitement à grande échelle de catégories particulières de données ; 3. La surveillance systématique à grande échelle d'une zone accessible au public.  Suivi  Régulier (fréquence)  Systématique (méthode)
  • 18. Zone noire : 8 cas rajoutés par l’APD 1) Si le traitement utilise des données biométriques pour identifier de façon unique des personnes se trouvant dans un lieu public ou dans un lieu privé accessible au public. 2) Si des données sont collectées auprès de tiers afin de refuser ou de cesser un contrat de services déterminé avec une personne. 3) Si des données de santé sont collectées automatiquement à l’aide d’un dispositif médical implantable actif. 4) Si des données sont collectées à grande échelle auprès de tiers afin d'analyser ou prédire la situation économique, la santé, les préférences, centres d’intérêts, la fiabilité, le comportement, la localisation et les déplacements d’une personne,
  • 19. Zone noire : 8 cas rajoutés par l’APD 5) Echange systématique de données particulières ou des données concernant la pauvreté/le chômage/l’implication de l’aide à la jeunesse/le travail social/les activités domestiques et privées/les données de localisation entre plusieurs responsables du traitement. 6)Traitement à grande échelle de données générées au moyen d'appareils dotés de capteurs qui envoient des données via Internet ou un autre moyen (IoT, « smart cities », etc.), ce traitement servant à analyser/prédire la situation économique, la santé, les préférences, centres d’intérêt, … 7) Traitement à grande échelle ou systématique de données de communication, métadonnées, données de localisation, sans que ce traitement ne soit strictement nécessaire pour le service demandé, (ex: wifi-tracking, localisation des voyageurs dans les transports publics, …) 8) Si on observe le comportement de personnes de manière systématique via un traitement automatisé à grande échelle, y compris à des fins publicitaires (il n’est pas nécessaire qu’une décision négative soit prise à l’encontre de la personne concernée, le seul suivi du comportement suffit).
  • 20. Zone blanche : 9 cas exonérés 1) nécessaires pour répondre à une obligation légale (pour autant que la loi définisse précisément les conditions du traitement). 2) nécessaires à l’administration des salaires. 3) qui concernent exclusivement l’administration du personnel en service. Cependant, cette exonération tombe dès que le traitement porte sur des données relatives à la santé, des données particulières ou des données pénales, ce qui sera fréquemment le cas. 4) qui concernent exclusivement la comptabilité. 5) qui concernent exclusivement l’administration des actionnaires et associés.
  • 21. Zone blanche : 9 cas exonérés 6) effectués par une fondation, association ou toute autre institution sans but lucratif dans le cadre de ses activités habituelles et qui portent uniquement sur des données relatives à ses propres membres, aux personnes avec lesquelles elle entretient des contacts réguliers ou aux bénéficiaires de cette institution et pour autant qu’aucune base de données obtenue de tiers ne soit utilisée. 7) portant sur l’enregistrement des visiteurs dans le cadre d’un contrôle d’accès, pour autant que vous vous limitiez à noter le nom, l’adresse professionnelle, l’employeur, le véhicule, le nom, la section et la fonction de la personne visitée, le moment de la visite. 8) par les écoles en vue de la gestion de leurs relations avec les élèves potentiels, actuels et anciens. 9) Portant que la gestion de la clientèle ou des fournisseurs existants ou anciens. Cette exonération tombe également dès que sont traitées les données des catégories particulières de données ou des données pénales ou des données provenant d’un tiers.
  • 22. Zone blanche • Est également exonéré d’AIPD le traitement de données similaire à un traitement pour lequel une AIPD a déjà été réalisée. Exemple : lorsque l’on utilise des technologies similaires pour collecter le même type de données pour les mêmes finalités En conséquence, l’AIPD de référence doit être partagée ou rendue publiquement accessible Exemples : - Un groupe d’autorités municipales mettant chacune en place un système similaire de surveillance - Un opérateur ferroviaire pourrait couvrir la vidéosurveillance de l’ensemble de ses gares au moyen d’une seule et même AIPD
  • 23. Zone grise • CEPD (ancien Groupe Article 29) • Le responsable du traitement doit évaluer lui-même si le traitement présente un risque élevé pour les droits et libertés des personnes concernées • Evaluation au moyen de 9 critères • 2 critères rencontrés  AIPD est présumée nécessaire • À moins que le responsable de traitement estime qu’il n’y a pas de risque élevé pour les personnes concernées. Dans ce cas, il doit motiver et documenter son raisonnement
  • 24. Zone grise 2 critères (ou +) rencontrés ? Données particulières, pénales, hautement perso. Personnes vulnérables Grande échelle Croiser des ensembles Prendre une décision automatisée avec effet juridique Empêcher d’exercer un droit ou de bénéficier d’un service/contrat Surveiller systématique- ment Évaluer (rendement, situation éco, santé, préférences, …) Utiliser des nouvelles solutions techno./orga. - Au plus il y a de critères remplis, au plus le risque est élevé … - Le responsable du traitement pourrait considérer que même si un seul critère est rempli, une AIPD doit être faite
  • 26. II. Parties impliquées dans la réalisation de l’AIPD
  • 27. Le responsable du traitement • = celui qui détermine les finalités et moyens du traitement • C’est à lui qu’incombe la réalisation de l’AIPD • Il est responsable de la bonne réalisation de l’AIPD • Si l’AIPD n’est pas ou est mal réalisée alors qu’elle est obligatoire, il doit rendre des comptes • Même en cas de délégation de la tâche de réalisation de l’AIPD, le responsable de traitement reste le responsable de cette tâche
  • 28. Le sous-traitant • = agit pour le compte du responsable du traitement Exemple : hébergeur/gestionnaire d’une application de géolocalisation, prestataire informatique, gestionnaire d’un serveur, … • Doit apporter son aide au responsable de traitement (Article 28, alinéa 3, f) du RGPD) • Si nécessaire et sur demande • Quel degré d’assistance du sous-traitant ? (recommandation 01/2018 de l’APD) Ce degré est déterminé « à la lumière de : (1) la nature du traitement (2) les informations mises à disposition du sous-traitant (3) l’opportunité de l’aide du sous-traitant afin de parvenir à une analyse et à une gestion des risques correctes et de qualité. »
  • 29. Le délégué à la protection des données • Rôle consultatif (décisionnel) (Article 35, alinéa 2 du RGPD) • Il convient de solliciter son avis sur les questions suivantes :  Faut-il ou non procéder à une AIPD ?  Quelle méthodologie suivre lors de la réalisation d’une AIPD ?  Effectuer l’AIPD en interne ou la sous-traiter ?  Quelles mesures (en ce compris les mesures techniques et organisationnelles) adopter pour atténuer les risques éventuels pesant sur les droits et les intérêts des personnes concernées ?  L’AIPD a-t-elle été correctement réalisée ?  Est-il opportun ou non de procéder au traitement et, dans l’affirmative, sous quelles garanties ?  Les conclusions de l’AIPD sont-elles conformes aux exigences en matière de protection des données ?
  • 30. Les personnes concernées • Le cas échéant, il convient de demander l’avis des personnes concernées ou de leurs représentants • Décision de consulter ou non les personnes concernées revient au responsable de traitement • Choix totalement libre du responsable de traitement ? • NON • Il est nécessaire de consulter les personnes concernées s’il existe suffisamment de motifs importants de procéder à la consultation, compte tenu de : La nature du traitement Du contexte du traitement De la portée du traitement De la finalité du traitement De l’impact potentiel sur les personnes concernées En particulier, si les personnes concernées disposent d’informations essentielles ou qu’elles peuvent formuler des remarques importantes et pertinentes au regard de l’AIPD
  • 31. Les personnes concernées Quid si la demande de l’avis de l’ensemble des personnes concernées est disproportionnée ou irréalisable ? NB : il est possible de limiter la consultation à certaines catégories de personnes concernées (pour qui le risque est élevé) Quid si la demande de l’avis des personnes concernées compromet d’autres objectifs ? Par exemple : la confidentialité, le secret d’affaires, …  Dans ce cas, le responsable de traitement doit documenter sa motivation de ne pas demander l’avis des personnes concernées
  • 32. Les personnes concernées Comment consulter les personnes concernées ? (Recom. 01/2018 de l’APD, p. 32) Principe : liberté du responsable de traitement Exemples : • Une étude générique relative aux finalités et aux moyens du traitement, • Une question adressée aux représentants du personnel, • Par e-mail (s’il dispose des coordonnées de la personne concernée) • Consultation publique • … Pourquoi pas, préalablement, également se concerter avec des organisations de défense des intérêts des personnes concernées (ou de consommateurs) !! Formulation des questions  Résultats générés doivent être fiables
  • 33. III. Comment concrètement, réaliser une AIPD ?
  • 34. Rassembler les bonnes personnes Le Délégué à la Protection des Données (DPD/DPO) Le département métier concerné par le traitement (RG / FM / …) Le département IT du RT (Responsable de la sécurité informatique) Le(s) sous-traitant(s) Impliqués dans le traitement Le département juridique du RT Experts indépendants (avocats, experts en sécurité, …) – Conseillé par le CEPD
  • 35. Le contenu  Lignes directrices Groupe 29
  • 36. Quelle méthodologie ? • CEPD, Lignes directrices concernant l’AIPD et la manière de déterminer si le traitement est susceptible d’engendrer un risque élevé • Cadres européens génériques : - DE: Standard Data Protection Model, V.1.0 – Trial version, 201631. https://www.datenschutzzentrum.de/uploads/SDM- Methodology_V1_EN1.pdf - ES: Guía para una Evaluación de Impacto en la Protección de Datos Personales (EIPD), Agencia española de protección de datos (AGPD), 2014. https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/Guia_EIPD.pdf - FR: Étude d’impacts sur la vie privée (PIA), Commission nationale de l’informatique et des libertés (CNIL), 2015. https://www.cnil.fr/fr/etude-dimpacts-sur-la-vie-privee-suivez-la-methode-de-la-cnil - UK: Conducting privacy impact assessments code of practice, Information Commissioner’s Office (ICO), 2014. https://ico.org.uk/media/for-organisations/documents/1595/pia-code-of-practice.pdf • Cadres européens sectoriels : - Cadre relatif à l’analyse de l’impact sur la vie privée et la protection des données pour les applications RFID 32. http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion- recommendation/files/2011/wp180_annex_en.pdf - Modèle d'analyse d'impact sur la protection des données des réseaux intelligents et des systèmes intelligents de mesure 33 http://ec.europa.eu/energy/sites/ener/files/documents/2014_dpia_smart_grids_forces.pdf
  • 37. Outil PIA de la CNIL
  • 38. Réaliser l’AIPD 1. Description des opérations de traitement envisagées et des finalités du traitement (art. 35, § 7, a) RGPD) Cette description comporte au moins les éléments suivants : a) La nature, la portée, le contexte et les finalités du traitement (considérant 90 du RGPD) ; b) Quelles données à caractère personnel, les destinataires et la durée pendant laquelle les données à caractère personnel seront enregistrées ; c) Une description fonctionnelle de l’opération de traitement ; d) Les actifs sur lesquels reposent les données à caractère personnel (par exemple les matériels, logiciels, réseaux, personnes, documents papier ou canaux de transmission papier) e) Le respect de codes de conduite approuvés est pris en compte
  • 39. Par exemple, dans l’outil de la CNIL :
  • 40. Réaliser l’AIPD 2. Évaluation de la nécessité et de la proportionnalité des opérations de traitement 2.1. au regard des finalités Critères pour déterminer si les mesures contribuant au respect des principes de proportionnalité et de nécessité envisagées sont complètes :  finalités déterminées, explicites et légitimes (article 5, paragraphe 1, point b) ;  licéité du traitement (article 6) ;  données adéquates, pertinentes et limitées à ce qui est nécessaire (article 5, paragraphe 1, point c) ;  durée de conservation limitée (article 5, paragraphe 1, point e)
  • 41. Réaliser l’AIPD 2. Évaluation de la nécessité et de la proportionnalité des opérations de traitement 2.2. au regard des droits des personnes concernées Critères pour déterminer si les mesures envisagées contribuant au respect des droits des personnes concernées sont complètes :  informations fournies à la personne concernée (articles 12, 13 et 14) ;  droit d’accès et droit à la portabilité des données (articles 15 et 20) ;  droit de rectification et droit à l’effacement (articles 16, 17 et 19) ;  droit d’opposition et droit à la limitation du traitement (articles 18, 19 et 21) ;  relations avec les sous-traitants (article 28) ;  garanties entourant le ou les transferts internationaux (chapitre V) ;  consultation préalable (article 36)
  • 42. Par exemple, dans l’outil de la CNIL :
  • 43. Réaliser l’AIPD 3. Évaluation des risques pour les droits et libertés des personnes concernées (article 35, paragraphe 7, point c) : • Risque = un scénario qui décrit un événement (redouté) et ses effets, estimés en termes de gravité et de probabilité • Droits et libertés des personnes concernées = Droit à la vie privée, mais aussi les autres droits fondamentaux (liberté de parole, de pensée, de circulation, …)
  • 44. Réaliser l’AIPD 3. Évaluation des risques pour les droits et libertés des personnes concernées (article 35, paragraphe 7, point c) : a) Evaluation de l’origine, la nature, la particularité et la gravité des risques (considérant 84) ou, plus spécifiquement, pour chaque risque (par ex. : accès illégitime aux données, modification non désirée des données, disparition des données) du point de vue des personnes concernées : - Prise en compte des sources de risques (considérant 90) ; - Identification des impacts potentiels sur les droits et libertés des personnes concernées ; - Prise en compte des menaces qui pourraient conduire à un risque ; - Evaluation de la probabilité et de la gravité (considérant 90). b) les mesures envisagées pour faire face à ces risques sont déterminées (article 35, paragraphe 7, point d), et considérant 90
  • 47. Réaliser l’AIPD Guide de la CNIL « Base de connaissance »
  • 48. Réaliser l’AIPD Par exemple, pour déterminer la gravité du risque Critères d’analyse (CNIL) (voir point 1.4 de la base de connaissance) : Négligeable= Limitée= Importante= Maximale= Les personnes concernées ne seront pas impactées ou pourraient connaître quelques désagréments, qu’elles surmonteront sans difficulté Les personnes concernées pourraient connaître des désagréments significatifs, qu’elles pourront surmonter malgré quelques difficultés Les personnes concernées pourraient connaître des conséquences significatives, qu’elles devraient pouvoir surmonter, mais avec des difficultés réelles et significatives Les personnes concernées pourraient connaître des conséquences significatives, voire irrémédiables, qu’elles pourraient ne pas surmonter
  • 49. IV. Les résultats de l’AIPD et leur implication
  • 50. Consultation éventuelle de l’Autorité de Protection des Données • À la suite de l’AIPD, si les risques résiduels (= càd les risques subsistant suite à la prise de mesures correctives) sont élevés, l’autorité de contrôle doit être consultée • Le droit national pourrait également prévoir certains cas où il faut consulter l’autorité de contrôle (dans le cadre d’une mission d’intérêt public par exemple, notamment en matière de protection sociale et de santé publique)
  • 51. L’Autorité de Protection des Données • Formulaire de consultation préalable disponible sur le site de l’APD : Demander une consultation préalable AIPD | Autorité de protection des données (autoriteprotectiondonnees.be)
  • 52. Faut-il publier l’AIPD ? • Faut-il publier l’AIPD ? • Pas d’obligation légale, décision appartient au responsable de traitement (Encouragé par l’APD) • Publication ne doit pas reprendre l’intégralité de l’analyse (!! ne pas publier les risques en matière de sécurité, ni les secrets d’affaire, ni les informations sensibles, …) • Possible de simplement publier un résumé des constatations de l’AIPD • Ou simplement déclarer qu’une AIPD a été effectuée
  • 53. L’AIPD en tant qu’« outil » de compliance • L’AIPD est un outil important au regard du principe d’accountability (art. 24 du RGPD) • Démontrer que des mesures appropriées ont été prises pour assurer la conformité au règlement • Privacy by design (art. 25 du RGPD) Une activité utile et positive !
  • 54. Merci pour votre attention ! Des questions ?

Notes de l'éditeur

  1. Pour le 1er cas, exemples : Parti politique qui, sur base de profils établis, ciblent certains citoyens plus enclins à voter pour eux ou envoie des prospectus électoraux aux citoyens plus réticents et moins informés de leur programme. Asbl qui, sur base de profils établis, envoient de la publicité pour réclamer des dons aux gens ayant les moyens et enclins à financer des œuvres caritatives et autres asbl.  Correction d’un examen à choix multiples par une machine (par exemple, dans le cadre d’un concours d’entrée dans la fonction publique).  Pour le 2ème cas, exemples : Données raciales/ethniques, convictions religieuses/philo, appartenance syndicale, orientation sexuelle, données concernant la santé, données génétiques, données biométriques, … Factures à prendre en compte pour la « grande échelle » : nombre de personnes concernées, volume de données, étendue géographiques, durée et permanence du traitement Par exemple : commune, parti politique, hôpital …  grande échelle Pour le 3ème cas, exemples : Par exemple, la vidéosurveillance d’un centre commercial, d’une gare, d’une place publique, d’une rue, d’un marché, caméras pour surveiller les comportements routiers, dashcams, …
  2. Le RGPD invite les autorités de contrôle national à compléter cette liste.  Article 35, alinéa 4 : « L'autorité de contrôle établit et publie une liste des types d'opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données est requise conformément au paragraphe 1. L'autorité de contrôle communique ces listes au comité visé à l'article 68. »
  3. Evaluer – Exemples un établissement financier passant ses clients au crible d’une base de données de cote de crédit une base de données dédiée à la lutte contre le blanchiment de capitaux et le financement du terrorisme (LBC/FT) ou «antifraude», une société de biotechnologie proposant des tests génétiques directement aux consommateurs afin d’évaluer et de prédire les risques de maladie/de problèmes de santé, une entreprise analysant les usages ou la navigation sur son site Web pour créer des profils comportementaux ou marketing Utiliser des nouvelles solutions technologiques/organisationnelles – Exemples utilisation combinée, par exemple, de systèmes de reconnaissance des empreintes digitales et de reconnaissance faciale pour améliorer le contrôle des accès physiques certaines applications de l’internet des objets Données particulières ou hautement personnelles – Exemples Données santé, conda. pénales, opinions politiques … Hautement personnelles : communications électroniques confidentielles, données financières, données de géolocalisation, … Personnes vulnérables – Exemples Enfants, employés, personnes souffrant de maladies, personnes âgées, demandeurs d’asile, … Grande échelle – Exemples Compte tenu de : 1) nbre de personnes ; 2) vol. de données ; 3) la durée/permanence de l’activité de traitement ; 4) l’étendue géo de l’activité de traitement Croiser des ensembles de données – Exemples Ensembles issus de deux opérations de traitement de données, ou plus, effectuées à des fins différentes et/ou par différents responsables du traitement, d’une manière qui outrepasserait les attentes raisonnables de la personne concernée Décision auto avec effets juridiques – Exemples Entraîne l’exclusion ou la discrimination Empêcher d’exercer un droit/de bénéficier d’un service/contrat – Exemples une banque passant ses clients au crible d’une base de données de cote de crédit avant d’arrêter ses décisions d’octroi de prêt. Surveiller systématiquement – Exemples
  4. Une AIPD peut également être utile pour évaluer l’impact sur la protection des données d’un produit technologique, par exemple un matériel ou un logiciel, lorsque celui-ci est susceptible d’être utilisé par divers responsables du traitement pour réaliser différentes opérations de traitement. Bien entendu, le responsable du traitement déployant le produit reste tenu d’effectuer sa propre AIPD pour ce qui concerne sa mise en oeuvre spécifique, mais il peut s’appuyer pour cela sur une AIPD élaborée par le fournisseur du produit, le cas échéant. Prenons l’exemple de la relation entre fabricants de compteurs intelligents et entreprises de services publics. Il conviendrait que chaque fournisseur ou sous-traitant partage les informations utiles en s’assurant de ne compromettre aucun secret ni de menacer la sécurité en divulguant des vulnérabilités.