Pour exercer ses activités en ordre au titre de la réglementation RGPD, un professionnel doit ou devra parfois en passer par une « analyse d’impact » (AIPD). Un point s'impose, à ce sujet... 

Analyse d'impact / AIPD : cadre légal. Comme nous l'avons expliqué dans des conseils, un « règlement européen sur la protection des données personnelles » a fixé un nouveau cadre juridique pour la protection des données à caractère personnel (règl. (UE) 2016/679 du 26.04.2016).

Tous les professionnels doivent désormais prendre en compte le « règlement européen sur la protection des données personnelles » (RGPD) dans le cadre de leurs activités.

Un nouveau cadre légal et réglementaire est à prendre en compte, à cet égard, depuis le 1er juin 2019.

Le RGPD et la loi « Informatique et libertés » du 6 janvier 1978, dans sa rédaction en vigueur depuis le 1er juin 2019, prévoit des obligations spécifiques en cas de « traitement susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques ».

Une étude d’impact, appelée « analyse d’impact relative à la protection des données » (AIPD), appelée aussi « analyse d’impact sur la vie privée » (Privacy Impact Assessment - PIA), peut à ce titre être imposée.  

Au titre de l’article 62 de la loi de 1978, le « responsable du traitement effectue préalablement à la mise en œuvre du traitement une analyse d'impact des opérations de traitement envisagées » sur la protection des données à caractère personnel dans les conditions prévues à l'article 35 du RGPD.

Au titre de l’article 63 de la loi de 1978, et conformément à l'article 36 du règlement RGPD, le responsable du traitement est en outre tenu de consulter la Commission nationale de l'informatique et des libertés (Cnil) « préalablement à la mise en œuvre du traitement lorsqu'il ressort de l'analyse d'impact prévue à l'article 62 que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque ».

Où l’AIPD est obligatoire. Une AIPD doit obligatoirement être menée lorsqu'un traitement de données personnelles est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées » (RGPD, art. 35-1).

C’est le cas si le traitement de données personnelles figure dans la liste des types d’opérations pour lesquelles l’AIPD a été rendu obligatoire par la Cnil (Cnil, délib. n°2018-327 du 11.10.2018 JO 06.11.2018).

Dans le secteur de l'immobilier, notez qu'il en va ainsi pour un traitement de données personnelles portant sur l’instruction des demandes et la gestion de logements sociaux.

En clair, un bailleur social est concerné par l’AIPD (cf. activité relevant de l’ancienne norme Cnil dite NS 20).

Où l’AIPD n’est pas requise. Une AIPD n’est pas nécessaire pour un traitement de données personnelles qui figure sur la liste des exceptions adoptée par la CNIL (Cnil, délib. n° 2019-118 du 12.09.2019  JO 22.10.2019).

Sont à ce titre concernés les « traitements mis en œuvre par les notaires aux fins d’exercice de leur activité notariale et de rédaction des documents des offices notariaux ».

Côté notaires, sont concernées les activités relevant du régime de l’ex-autorisation unique n°AU-006 (Cnil, délib. n° 2014-016 du 23.01.2014).

Pour les autres traitements. Il convient de prendre en compte les « lignes directrices » élaborées par la Cnil pour déterminer si un traitement de données personnelles nécessite, ou non, une AIPD (Cnil, délib. n°2018-326 du 11.10.2018 JO 06.11.2018).

Pour consulter la délibération de la Cnil n° 2018-326 du 11 octobre 2018 : cliquer ici

Pour la Cnil, une AIPD s’impose si le traitement remplit au moins deux des neuf critères identifiés par le Comité européen de la protection des données (CEPD), et mentionnés dans la délibération.

En cas de doute, la Cnil recommande d’effectuer une AIPD.

Dispositif transitoire. La Cnil a précisé qu’une AIPD n’est pas exigée, pour une période de trois ans, si un traitement a été régulièrement mis en oeuvre avant le 25 mai 2018.

Il en va notamment ainsi si un traitement a fait l'objet d'une formalité auprès de la Cnil, ou en a été dispensé.

Le traitement n'a pas alors à faire l'objet d'une AIPD dans un délai de trois ans à compter du 25 mai 2018, à moins qu'il ait fait l'objet d'une modification substantielle depuis sa mise en œuvre.

Est à notre avis concerné un traitement qui a fait l'objet d'une déclaration préalable simplifiée, tel au titre de la norme NS-021 en gestion immobilière pour un professionnel Hoguet (Cnil, délib. du 18.12.2003 JO 22.01.2004).

Cette dispense d’obligation de réaliser une AIPD, pour les traitements existants et régulièrement mis en œuvre, est limitée à une période de trois ans. A l’issue du délai, les responsables de traitement devront avoir fait le nécessaire pour l'AIPD, si le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes.

Notons que pour la Cnil, la « réalisation d’une AIPD constitue, dans tous les cas, une bonne pratique facilitant la démarche de mise en conformité avec les conditions de fond prévues par le RGPD ».

Pour consulter la note de la Cnil du 22 octobre 2019 concernant l’AIPD : cliquer ici

Pour consulter la rubrique dédiée à l’AIPD sur le site de la Cnil : cliquer ici

Références

Cnil, délibération n° 2018-326 du 11 octobre 2018 portant adoption de lignes directrices sur les analyses d'impact relatives à la protection des données (AIPD) prévues par le règlement général sur la protection des données (RGPD) - JO n°0256 du 6 novembre 2018 

Cnil, délibération n° 2018-327 du 11 octobre 2018 portant adoption de la liste des types d'opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données est requise - JO n°0256 du 6 novembre 2018 

Cnil, délibération n° 2019-118 du 12 septembre 2019 portant adoption de la liste des types d'opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données n'est pas requise - JO n°0246 du 22 octobre 2019 

Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)

Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés JO n°0125 du 30 mai 2019

Ordonnance n° 2018-1125 du 12 décembre 2018 prise en application de l'article 32 de la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles et portant modification de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et diverses dispositions concernant la protection des données à caractère personnel JO n°0288 du 13 décembre 2018

Loi n°2018-493 du 20 juin 2018 relative à la protection des données personnelles, JO n°0141 du 21 juin 2018

Outre la dispense d'AIPD prévue pour les notaires par une délibération récente, tenez-compte du dispositif transitoire prévu par la Cnil si un traitement a déjà fait l'objet d'une formalité préalable avant le 25 mai 2018.

Détails de contact
Editions Francis Lefebvre | 42, rue de Villiers | CS 50002 | 92532 Levallois-Perret
Tél. : 03.28.04.34.10 | Fax : 03.28.04.34.11
service.clients.pme@efl.fr | pme.efl.fr
SAS au capital de 241 608 euros | RCS Nanterre | N° TVA : FR 764 147 408 52 | Code APE : 5814 Z