RGPD : obligation de réaliser une analyse d’impact pour certains traitements

Depuis le 25 mai 2018, date d’entrée en vigueur du RGPD, toutes les entreprises n’ont pas encore pris le temps de se conformer à cette règlementation pourtant obligatoire, et ce, quelle que soit leur taille.

En effet, le traitement des données personnelles, notamment celles des salariés par les services de ressources humaines, ne fait plus l’objet d’une déclaration préalable à la CNIL, mais doit répondre aux obligations du règlement européen, le RGPD.

De surcroît, la CNIL rend obligatoire au 25 mai 2021 la réalisation d’une analyse d’impact des données dont le traitement est particulièrement sensible, dite « analyse d'impact à la protection des données » (AIPD).

L'AIPD : QU'EST-CE QUE C'EST ?

Dès lors qu'un traitement de données personnelles est considéré comme "susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées", une analyse d'impact à la protection des données (AIPD) doit être effectuée.

L'objectif de l’AIPD est de déterminer les risques inhérents au traitement de donnée concerné, ainsi que les actions mises en place pour y pallier.
C'est le responsable de traitement, a fortiori l'employeur, qui est tenu par l’obligation de s’assurer de la conformité de son traitement au RGPD, et donc de réaliser une AIPD lorsque cela est nécessaire.

QUAND L’AIPD EST-ELLE OBLIGATOIRE ?

L’AIPD est obligatoire dans deux hypothèses :

► Lorsque le traitement envisagé figure dans la liste des types d’opérations de traitement pour lesquelles la CNIL a estimé obligatoire de réaliser une analyse d’impact relative à la protection des données (voir la liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise).

La CNIL impose la mise en place d’une AIPD notamment pour les traitements suivants :

♦ Vidéosurveillance d’un entrepôt stockant des biens de valeur au sein duquel travaillent des manutentionnaires ;
♦ Service de géolocalisation de mobilité urbaine utilisé par un grand nombre de personnes ;
♦ Application mobile permettant de collecter les données de géolocalisation des utilisateurs ;
♦ Chronotachygraphe des véhicules de transport routier ;
♦ Mise en œuvre d’un système de billettique par des opérateurs de transport.

► Lorsque le traitement concerné remplit au moins deux des neuf critères suivants :

♦ évaluation/scoring (y compris le profilage) ;
♦ décision automatique avec effet légal ou similaire ;
♦ surveillance systématique ;
♦ collecte de données sensibles ou données à caractère hautement personnel ;
♦ collecte de données personnelles à large échelle ;
♦ croisement de données ;
♦ personnes vulnérables (patients, personnes âgées, enfants, etc.) ;
♦ usage innovant (utilisation d’une nouvelle technologie) ;
♦ exclusion du bénéfice d’un droit/contrat.

L'AIPD : COMMENT LA FORMALISER ?

L'AIPD se découpe en 3 parties :

Une description détaillée du traitement comprenant tant les aspects techniques qu'opérationnels ;
L'évaluation de nature plus juridique, de la nécessité et de la proportionnalité du traitement ;
L'étude des risques sur la sécurité des données ainsi que leurs impacts potentiels sur la vie privée.

Le logiciel open source « PIA », mise à disposition des entreprises par la CNIL, permet la formalisation des analyses d’impact relatives à la protection des données (AIPD) telles que prévues par le RGPD.

Le logiciel est disponible en libre accès sur le site internet de la CNIL : https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil

FAUT-IL PUBLIER SON AIPD ?

Non, il n’y a aucune obligation de publication de l’AIPD.

FAUT-IL TRANSMETTRE SON AIPD A LA CNIL ?

S’il apparait, après l’AIPD, que le niveau de risque résiduel reste élevé, l’employeur doit alors transmettre son analyse d’impact à la CNIL.

Le cas échéant, l’AIPD est télétransmise à la CNIL soit par courrier avec accusé de réception, soit via le Téléservices proposé sur le site internet de la CNIL :

https://teleservices.cnil.fr/tsgen/all/organisme-aipd.action;jsessionid=2F998E77C0D68B4ABD348A604DC50149.workertsgen

QUELLE SANCTION EN CAS D’ABSENCE D’AIPD ?

La CNIL est chargée de contrôler la mise en oeuvre du RGPD et de l’AIPD au sein des entreprises.

En cas de non-confirmé constatée après un contrôle de la CNIL, le montant de l’amende encourue peut s'élever jusqu'à 10 000 000 euros ou jusqu'à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu.

SORECO est en mesure de vous proposer un accompagnement à la mise en place du RGPD dans votre entreprise. N’hésitez pas à nous consulter afin d’obtenir un devis personnalisé.

Le 20/04/21

Nos premiers commerciaux,
ce sont nos clients :

Ce qui m’a fait choisir SORECO, c’est le filet de sécurité ; ils nous guident, nous conseillent et contrôlent en cas de doute : on ne se retrouve pas seul face à nos éditions.

FRIGO EST (57) Muriel GAUGUÉ

Pour moi, le choix SORECO, c’est un choix économique et social. SORECO nous a permis de faire des économies de l’ordre de 1000 € / an / salarié. Des interlocuteurs privilégiés pour plus de sérénité.

ULYSSE (42) Gérald HÉDIRIAN

Ils sont très réactifs et pédagogues. On sait où on va, on sait ce qu’on fait, on a confiance, vraiment !

GROUPE RUIZ (11) Justine RUIZ

Ce que j’apprécie chez SORECO, c’est leur professionnalisme, leur capacité de s’adapter à nos problèmes et à les solutionner. Ce qui me plaît aussi, c’est la convivialité des relations, des échanges et le respect mutuel que l’on a avec eux.

GROUPE RUIZ (11) Patricia RUIZ

On a affaire à des experts de la paie transport : en fin de mois, on est serein et tout se passe bien. SORECO nous a permis de faire des économies tous les mois sur nos feuilles de paie. Travailler avec SORECO, c’est travailler avec une société à taille humaine qui connaît le transport.