logiciel rgpd

AIPD et RGPD : Quand l’AIPD est-elle obligatoire ?

RGPDSeptember 2, 2022

L’AIPD ou analyse d’impact relative à la protection des données est, comme son nom l’indique, une analyse qui doit être menée par le DPO lors de certaines opérations de traitement.

Elle vise d’une part à aider les entreprises à faire les bons choix en matière de protection des données et d’autre part à prouver à la CNIL qu’elles ont bien respecté leurs obligations de conformité.

L’AIPD se décompose en trois parties : une première partie décrit l’opération de traitement que l’entreprise souhaite opérer. Une deuxième partie est une étude juridique sur les obligations à mettre en œuvre : durée de conservation, protection à apporter, etc… elle permet de justifier de la proportionnalité des mesures de protection décidées par le DPO.

Enfin, une troisième partie évalue de façon plus technique les différents risques que le traitement pourrait faire peser sur la vie privée des personnes concernées et leurs conséquences, avec là encore un objectif de mise en place des mesures de protection adaptées.

L’AIPD n’est pas obligatoire dans tous les cas et des critères peuvent être utilisés pour déterminer si oui ou non vous vous trouvez dans l’obligation de la rédiger. De plus, la CNIL a dressé des listes plus spécifiques permettant de savoir si vous devez ou non en passer par cette étape.

aipd

Les critères retenus par le RGPD pour l’AIPD

Les autorités de contrôle du RGPD au niveau européen (dont la CNIL) ont établi 9 critères qui permettent de déterminer si un traitement doit ou non faire l’objet d’une AIPD :

1- Evaluation/scoring : C’est le cas par exemple d’une évaluation de la capacité de paiement d’un prospect ou client ;

2- Décision automatique avec effet légal ou similaire : lorsqu’une décision avec effet légal ou similaire (qui peut donc être les conditions d’application d’un contrat, par exemple) est prise sans intervention humaine ;

3- Surveillance systématique : ici, ce n’est pas tant la nature de la collecte que son caractère systématique qui est visé ;

4- Données sensibles (comme les données de santé) ou hautement personnelles (les données hautement personnelles sont par exemple des données de géolocalisation) ;

5- Collecte à large échelle ;

6- Croisement de données : l’utilisation de plusieurs jeux de données et l’établissement de recoupements entre eux augmente les risques d’exposer les informations contenues dans l’ensemble des jeux de données utilisés ;

7- Personnes vulnérables : il s’agit des personnes vulnérables par nature (personnes âgées, enfants…) ou en fonction de leur situation (patients…) ;

8- Usage innovant : utilisation d’une nouvelle technologie qui nécessite donc un encadrement plus attentif ;

9- Exclusion du bénéfice d’un droit ou d’un contrat (suite à la collecte et au traitement des données)

Ainsi, le DPO doit déterminer si le traitement de données considéré répond à un ou plusieurs critères de la liste ci-dessous. Ensuite, trois cas sont possibles.

D’abord, si le traitement ne répond à aucun critère de la liste, alors une AIPD n’est pas nécessaire. A noter que les traitements doivent tout de même respecter les autres principes du RGPD en matière de protection des données personnelles.

Ensuite, si le traitement répond à deux critères ou plus, alors une AIPD sera toujours requise. Dans ce cas, un logiciel AIPD/PIA peut vous aider à remplir votre AIPD plus efficacement et plus rapidement.

Enfin, si le traitement répond à seulement 1 critère de la liste ci-dessus : dans ce cas, c’est au DPO de trancher. Concrètement, il peut considérer que le traitement présente un risque élevé pour la vie privée des personnes considérées et décider de mener une AIPD. Ou bien, il peut considérer que le traitement ne met pas ou très peu en risque les droits des personnes et se passer de l’AIPD.

Les cas dans lesquels l’AIPD est obligatoire selon le RGPD

Il est important de noter que c’est d’abord l’application des critères qu’on vient d’évoquer qui fait foi. En effet, il n’y a pas de liste exhaustive et immuable regroupant l’ensemble des traitements possibles nécessitant une AIPD. C’est tout simplement parce que les pratiques évoluent vite et que de nouveaux types de traitements, ou de nouvelles manières de les mener, peuvent voir le jour.

Néanmoins, la CNIL a publié une liste des cas dans lesquels une AIPD est obligatoire.

Sans entrer dans les détails de cette liste que vous pouvez retrouver ici, donnons quelques exemples qui peuvent être rencontrés dans un grand nombre de secteurs :

1- On pense d’abord à des opérations “fines” de gestion des ressources humaines : il peut s’agir par exemple de l’emploi d’algorithmes pour pré-sélectionner des candidats lors d’un processus de recrutement ; dans un autre registre, l’utilisation d’algorithmes pour proposer aux collaborateurs des parcours de formation personnalisés rentre dans la même catégorie.

2- Certaines actions visant à améliorer la performance marketing peuvent être visées : c’est le cas du croisement de jeux de données opérés par des data brokers et d’autres sources externes, notamment pour personnaliser la publicité en ligne ;

3- Enfin, le traitement de données de localisation à large échelle est également concerné et se retrouve dans de nombreuses applications mobiles qui collectent ces données de géolocalisation, par exemple.

Rappelons une nouvelle fois que ces quelques cas sont des exemples susceptibles d’être rencontrés fréquemment mais ne constituent pas une liste exhaustive.

Les cas dans lesquels l’AIPD n’est pas obligatoire selon le RGPD

De la même manière, la CNIL a publié une liste des traitements de données ne nécessitant pas de mener une AIPD. Encore une fois, il faut garder à l’esprit que c’est d’abord l’application des critères généraux qui fait foi, avant le recours à ces listes.

On peut néanmoins citer quelques exemples :

1- La plupart des opérations de gestion des ressources humaines “classiques” ne nécessitent pas le recours à une AIPD : on pense à la gestion de la paye, des bulletins de salaire, au remboursement des frais professionnels… Attention, cela concerne uniquement les entreprises de moins de 250 salariés ;

2- De même, les opérations classiques avec un fournisseur ne nécessitent pas l’AIPD : opérations administratives liées aux contrats, établissement des titres de paiement, documentation sur les fournisseurs…

3- Sont également exclus les traitements liés à la gestion quotidienne de l’activité des salariés, sans dispositif biométrique : on pense à la collecte et au traitement nécessaires pour la mise en place d’un badge d’accès aux locaux, ou encore aux dispositifs de contrôle du temps de travail.

Vous pouvez retrouver l’ensemble de la liste ici. A noter que d’autres cas peuvent exister. Quoiqu’il en soit, il est toujours préférable de s’appuyer sur les critères émis par les autorités de contrôle en cas de doute.

La plateforme 100% made in France qui vous permet de simplifier, accélérer et pérenniser vos différents programmes de conformité.

Vous souhaitez rester au courant des dernières actualités ? Abonnez-vous à la newsletter !

Nous (Witik) collectons et traitons vos données conformément à notre Politique de protection des données.