Liste des traitements pour lesquels une Analyse d’Impact relative à la Protection des Données (AIPD) est requise

6 novembre 2018

L’article 35 du RGPD prévoit la conduite d’une analyse d’impact relative à la protection des données (AIPD – Data Protection Impact Assessment ou PIA – Privacy Impact Assessment), lorsqu’un traitement de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées.

Une AIPD doit obligatoirement être mené quand le traitement est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées » dans les cas suivants:

le traitement figure dans la liste CNIL ;
le traitement remplit au moins deux des neuf critères issus des lignes directrices du G29 :

évaluation/scoring (y compris le profilage) ;
décision automatique avec effet légal ou similaire ;
surveillance systématique ;
collecte de données sensibles données à caractère hautement personnel ;
collecte de données personnelles à large échelle ;
croisement de données ;
personnes vulnérables (patients, personnes âgées, enfants, etc.) ;
usage innovant (utilisation d’une nouvelle technologie) ;
exclusion du bénéfice d’un droit/contrat.

L’AIPD se décompose en trois parties :

Description détaillée du traitement (aspects techniques et opérationnels) ;
Evaluation juridique de la nécessité et de la proportionnalité au regard des principes RGPD (finalité, données et durées de conservation, information et droits des personnes, etc.);
Etude technique des risques et impacts potentiels sur la sécurité des données (confidentialité, intégrité et disponibilité) permettant de déterminer les mesures techniques et organisationnelles nécessaires pour protéger les données.

La CNIL a publié des guides de bonnes pratiques et notamment des modèles d’AIPD dont et un exemple applicable aux IoT.