L’analyse d'impact relative à la protection des données (AIPD) figure dans le règlement général sur la protection des données (RGPD)[1] parmi les outils de la conformité que les responsables de traitement doivent mettre en œuvre. Le RGPD indique que tout responsable de traitement est tenu de réaliser une AIPD lorsque les opérations de traitement sont susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes physiques.

L'AIPD est un outil important pour la responsabilisation des organismes dans la mise en œuvre de leur politique de protection des données. Elle les aide non seulement à construire des traitements de données respectueux de la vie privée, mais aussi à démontrer leur conformité au RGPD. La décision d’engager et mener une analyse d’impact relève donc du responsable de traitements puisqu’il est le garant de l’application du RGPD.

Mais pour quels traitements le responsable de traitement doit-il, ou pas, conduire une analyse d'impact ?

Le RGPD précise que l'analyse d’impact n’est pas nécessaire pour tout traitement ; c’est le cas notamment :

  • quand le traitement figure sur la liste des exceptions adoptée par la Cnil après consultation du Comité européen de protection des données (CEPD) ;
  • quand le traitement ne présente pas de risque élevé pour les droits et libertés des personnes concernées ;
  • lorsque la nature, la portée, le contexte et les finalités du traitement envisagé sont très similaires à un traitement pour lequel une AIPD a déjà été menée.

Mais pour apporter plus de précisions, la CNIL a pris deux délibérations importantes :

  1. Traitements pour lequel une analyse d’impact n’est pas obligatoire. La Cnil vient de publier la liste des traitements pour lesquels une AIPD n’est pas requise (validée par le CEPD). Plusieurs de ces traitements sont mis en œuvre dans les secteurs sanitaire, social et médico-social. C’est le cas, par exemple, des traitements RH dont la gestion du temps, des traitements associatifs, des traitements CSE, du contrôle d’accès…
  2. Traitements pour lequel une analyse d’impact est obligatoire. En novembre 2018, la Cnil avait déjà adopté la liste des traitements pour lesquels une AIPD est obligatoire, et cela concerne notamment les :
  • traitements de données de santé mis en œuvre par les établissements de santé ou les établissements médico-sociaux pour la prise en charge des personnes ;
  • traitements ayant pour finalité de surveiller de manière constante l’activité des employés concernés ;
  • traitements ayant pour finalité la gestion des alertes et des signalements en matière sociale et sanitaire ;
  • traitements ayant pour finalité l’accompagnement social ou médico-social des personnes.

[1] En vigueur depuis le 25 mai 2018.