Article 35
Analyse d'impact relative à la protection des données

Textes
Officiels
Guidelines Jurisprudence Analyse du
droit européen
Analyse du
droit national
Afficher les considérants du Règlement liés à l'article 35 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 35 keyboard_arrow_up

(72) Le profilage est soumis aux règles du présent règlement régissant le traitement des données à caractère personnel, par exemple le fondement juridique du traitement ou les principes en matière de protection des données. Le comité européen de la protection des données établi par le présent règlement (ci-après dénommé "comité") devrait pouvoir publier des directives à cet égard.

(84) Afin de mieux garantir le respect du présent règlement lorsque les opérations de traitement sont susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement devrait assumer la responsabilité d'effectuer une analyse d'impact relative à la protection des données pour évaluer, en particulier, l'origine, la nature, la particularité et la gravité de ce risque. Il convient de tenir compte du résultat de cette analyse pour déterminer les mesures appropriées à prendre afin de démontrer que le traitement des données à caractère personnel respecte le présent règlement. Lorsqu'il ressort de l'analyse d'impact relative à la protection des données que les opérations de traitement des données comportent un risque élevé que le responsable du traitement ne peut atténuer en prenant des mesures appropriées compte tenu des techniques disponibles et des coûts liés à leur mise en oeuvre, il convient que l'autorité de contrôle soit consultée avant que le traitement n'ait lieu.

(89) La directive 95/46/CE prévoyait une obligation générale de notifier les traitements de données à caractère personnel aux autorités de contrôle. Or, cette obligation génère une charge administrative et financière, sans pour autant avoir systématiquement contribué à améliorer la protection des données à caractère personnel. Ces obligations générales de notification sans distinction devraient dès lors être supprimées et remplacées par des procédures et des mécanismes efficaces ciblant plutôt les types d'opérations de traitement susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes physiques, du fait de leur nature, de leur portée, de leur contexte et de leurs finalités. Ces types d'opérations de traitement peuvent inclure ceux qui, notamment, impliquent le recours à de nouvelles technologies ou qui sont nouveaux et pour lesquels aucune analyse d'impact relative à la protection des données n'a été effectuée au préalable par le responsable du traitement, ou qui deviennent nécessaires compte tenu du temps écoulé depuis le traitement initial.

(90) Dans de tels cas, une analyse d'impact relative à la protection des données devrait être effectuée par le responsable du traitement, préalablement au traitement, en vue d'évaluer la probabilité et la gravité particulières du risque élevé, compte tenu de la nature, de la portée, du contexte et des finalités du traitement et des sources du risque. Cette analyse d'impact devrait comprendre, notamment, les mesures, garanties et mécanismes envisagés pour atténuer ce risque, assurer la protection des données à caractère personnel et démontrer le respect du présent règlement.

(91) Cela devrait s'appliquer en particulier aux opérations de traitement à grande échelle qui visent à traiter un volume considérable de données à caractère personnel au niveau régional, national ou supranational, qui peuvent affecter un nombre important de personnes concernées et qui sont susceptibles d'engendrer un risque élevé, par exemple, en raison de leur caractère sensible, lorsque, en conformité avec l'état des connaissances technologiques, une nouvelle technique est appliquée à grande échelle, ainsi qu'à d'autres opérations de traitement qui engendrent un risque élevé pour les droits et libertés des personnes concernées, en particulier lorsque, du fait de ces opérations, il est plus difficile pour ces personnes d'exercer leurs droits. Une analyse d'impact relative à la protection des données devrait également être effectuée lorsque des données à caractère personnel sont traitées en vue de prendre des décisions relatives à des personnes physiques spécifiques à la suite d'une évaluation systématique et approfondie d'aspects personnels propres à des personnes physiques sur la base du profilage desdites données ou à la suite du traitement de catégories particulières de données à caractère personnel, de données biométriques ou de données relatives à des condamnations pénales et à des infractions, ou encore à des mesures de sûreté connexes. Une analyse d'impact relative à la protection des données est de même requise aux fins de la surveillance à grande échelle de zones accessibles au public, en particulier lorsque des dispositifs opto-électroniques sont utilisés, ou pour toute autre opération pour laquelle l'autorité de contrôle compétente considère que le traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées, en particulier parce qu'elles empêchent ces personnes d'exercer un droit ou de bénéficier d'un service ou d'un contrat, ou parce qu'elles sont effectuées systématiquement à grande échelle. Le traitement de données à caractère personnel ne devrait pas être considéré comme étant à grande échelle si le traitement concerne les données à caractère personnel de patients ou de clients par un médecin, un autre professionnel de la santé ou un avocat exerçant à titre individuel. Dans de tels cas, une analyse d'impact relative à la protection des données ne devrait pas être obligatoire.

(92) Il existe des cas dans lesquels il peut être raisonnable et économique d'élargir la portée de l'analyse d'impact relative à la protection des données au-delà d'un projet unique, par exemple lorsque des autorités publiques ou organismes publics entendent mettre en place une application ou une plateforme de traitement commune, ou lorsque plusieurs responsables du traitement envisagent de créer une application ou un environnement de traitement communs à tout un secteur ou segment professionnel, ou pour une activité transversale largement utilisée.

(93) Au moment de l'adoption du droit d'un État membre qui fonde l'exercice des missions de l'autorité publique ou de l'organisme public concernés et qui règlemente l'opération ou l'ensemble d'opérations de traitement spécifiques, les États membres peuvent estimer qu'une telle analyse est nécessaire préalablement aux activités de traitement.

(94) Lorsqu'il ressort d'une analyse d'impact relative à la protection des données que, en l'absence des garanties, de mesures de sécurité et de mécanismes pour atténuer le risque, le traitement engendrerait un risque élevé pour les droits et libertés des personnes physiques et que le responsable du traitement est d'avis que le risque ne peut être atténué par des moyens raisonnables compte tenu des techniques disponibles et des coûts de mise en oeuvre, il y a lieu de consulter l'autorité de contrôle avant le début des opérations de traitement. Certains types de traitements et l'ampleur et la fréquence des traitements sont susceptibles d'engendrer un tel risque élevé et peuvent également causer un dommage ou porter atteinte aux droits et libertés d'une personne physique. L'autorité de contrôle devrait répondre à la demande de consultation dans un délai déterminé. Toutefois, l'absence de réaction de l'autorité de contrôle dans le délai imparti devrait être sans préjudice de toute intervention de sa part effectuée dans le cadre de ses missions et de ses pouvoirs prévus par le présent règlement, y compris le pouvoir d'interdire des opérations de traitement. Dans le cadre de ce processus de consultation, les résultats d'une analyse d'impact relative à la protection des données réalisée en ce qui concerne le traitement en question peuvent être soumis à l'autorité de contrôle, notamment les mesures envisagées pour atténuer le risque pour les droits et libertés des personnes physiques.

(95) Le sous-traitant devrait aider le responsable du traitement, si nécessaire et sur demande, à assurer le respect des obligations découlant de la réalisation des analyses d'impact relatives à la protection des données et de la consultation préalable de l'autorité de contrôle.

Il n'y pas de considérant de la Directive 95/46 lié à l'article 35.

Le GDPR

L’objectif du législateur européen est également ici –comme pour la tenue d’un registre interne des activités de traitements -cfr l’article 30- de remplacer l’obligation générale de notification préalable des traitements par des mécanismes efficaces ciblant plutôt les traitements susceptibles de présenter des risques particuliers pour les droits et libertés des personnes concernées.

L’obligation de réaliser une analyse d’impact pour certains traitements « à haut risque » s’inscrit dans cette logique : lorsqu’un traitement est susceptible d’exposer les personnes à un risque élevé au regard de leurs droits et libertés, notamment ceux qui recourent aux nouvelles technologies,  le responsable doit effectuer une analyse d'impact relative à la protection des données pour évaluer, en particulier, l'origine, la nature, la portée, le contexte, la particularité et la gravité de ce risque.

Dans sa deuxième version, l’article 35, paragraphe § 1er contenait une énumération non exhaustive des risques qui justifient une analyse d’impact tels que une discrimination, un vol ou une usurpation d'identité, une perte financière, une atteinte à la réputation, un renversement non autorisé de la pseudonymisation, une perte de confidentialité de données protégées par le secret professionnel ou tout autre dommage économique ou social important. Toutefois, à l’image des articles 33 et 34 cette énumération des risques a été supprimée dans la version finale du Règlement.

Selon le considérant 91, l’analyse d’impact est spécialement requise pour les opérations de traitement à grande échelle, qui servent à traiter un volume considérable de données à caractère personnel à un niveau régional, national ou supranational et qui peuvent affecter un nombre important de personnes concernées. On pense bien évidemment aux grands processus de Big Data mis en œuvre par exemple via les réseaux sociaux.

Objet. L’analyse d’impact vise à évaluer la probabilité et la gravité du risque afin de déterminer, à partir du résultat de l’évaluation, les mesures appropriées à prendre afin de démontrer que le traitement des données à caractère personnel est conforme à la réglementation européenne en matière de protection de données personnelles. La version finale du Règlement précise qu’une analyse d’impact unique peut porter sur un ensemble d’opérations de traitement qui présentent le même niveau de risque.

Dans sa dernière version, le Règlement clarifie et complète au § 7 de l’article 35 le contenu de l’analyse d’impact à réaliser. L’analyse doit au moins contenir :

-une description systématique des activités traitements envisagés et des finalités poursuivies, en ce compris le cas échéant une description des intérêts légitimes poursuivis par le responsable (a) ;

- une analyse de la nécessité et de la proportionnalité des activités de traitement au regard des finalités poursuivies (b) ;

- une évaluation du risque pour les droits et libertés des personnes concernées (c) ;

- les mesures envisagées pour atténuer ce risque y compris les garanties, mesures de sécurité et mécanismes visant à assurer la protection des données à caractère personnel et à apporter la preuve de la conformité du traitement avec le Règlement, en tenant compte des droits et des intérêts légitimes des personnes concernées et des autres personnes touchées (d).

Si un délégué à la protection des données a été désigné, ce dernier doit être consulté lorsque le responsable effectue une analyse d’impact relative à la protection des données (article 35, § 2).

Sur première demande, le sous-traitant doit également assister le responsable afin d’assurer le respect des obligations découlant des analyses d'impact relatives à la protection des données et, le cas échéant, de la consultation préalable de l'autorité de contrôle (considérant 95).

Il doit tenir également être dûment tenu compte du respect par le responsable des codes de conduites approuvés en vertu de l’article 40 lors de l’évaluation de la légalité et de l’impact des opérations de traitement dans le cadre d’une analyse d’impact (cfr. art. 35, § 8).

Dans les cas appropriés, le responsable doit également demander l'avis des personnes concernées ou de leurs représentants au sujet du traitement prévu, sans préjudice de la protection des intérêts généraux ou commerciaux ni de la sécurité des traitements (article 35, § 9).

Cas d’application. L’article 35, paragraphe 3, contient une liste exemplative d’hypothèses où l’analyse d’impact s’impose, tels que le profilage ou le traitement à grande échelle de données sensibles :

- Lorsque le responsable envisage de procéder à l’évaluation systématique des aspects personnels propres à des personnes physiques, sur la base d’un traitement automatisé, incluant le profilage, et sur laquelle sont fondées des décisions produisant des effets juridiques les concernant ou les affectant gravement ;

- Lorsque le responsable traite, à large échelle, des données sensibles au sens de l’article 9, paragraphe 1 ou des données se rapportant à des condamnations ou des infractions au sens de l’article 10 du Règlement ;

- Lorsque le responsable procède à une surveillance systématique à grande échelle de zones accessibles au public.

Avis de l’autorité de contrôle. Si l’analyse révèle que le risque lié au traitement ne peut être atténué par des moyens raisonnables compte tenu des techniques disponibles et des coûts liés à leur mise en œuvre, le responsable doit consulter l’autorité de contrôle (cfr. art. 36, §  2 et les considérants 84 et 94). Si l’autorité de contrôle estime que le traitement emporte violation du règlement, elle rend un avis écrit au responsable et, le cas échéant au sous-traitant, dans un délai de huit semaines, prolongeable de six semaines en cas de complexité du traitement. Ces délais sont suspendus tant que l’autorité de contrôle n’a pas obtenu toutes les informations demandées pour sa consultation.

En outre, les paragraphes 4 et 5  confèrent à l’autorité de contrôle le pouvoir d’établir une liste de catégories de traitements soumis ou non à l’obligation d’analyse d’impact préalable ainsi qu’une liste de catégories de traitements dispensés de l’obligation d’analyse d’impact préalable.

Ces listes doivent être communiquées au Contrôleur européen à la protection des données et soumises au préalable au mécanisme de contrôle de la cohérence prévue aux articles 63 et suivants, si elles contiennent des traitements liés à l'offre de biens ou de services à des personnes concernées ou à l'observation de leur comportement dans plusieurs États membres, ou encore sont susceptibles d'affecter sensiblement la libre circulation des données à caractère personnel au sein de l'Union (article 35, paragraphe 6). En d’autres termes, dans ces cas, l’autorité de contrôle doit soumettre pour avis au Comité européen de la protection des données la liste de traitements soumis à l'exigence d'une analyse d'impact relative à la protection des données (cfr. art. 64, paragraphe 1er, a)).

Exceptions. Le considérant 91 précise que l’analyse d’impact n’est pas obligatoire si le traitement de ces données est protégé par le secret professionnel, à l’instar des traitements des données à caractère personnel de patients ou clients par un médecin individuel, un professionnel de la santé, un hôpital ou un avocat.

L’analyse d’impact n’est pas non plus obligatoire si le traitement est régi par une base légale à laquelle le responsable est soumis et que le traitement est nécessaire au respect de cette loi au sens de l’article 6.1. c) ou à l’exécution d’une mission d’intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement au sens de l’art. 6.1.e, sauf si les Etats membre l’estiment nécessaire (art. 35, § 10). 

Révision de l’analyse. Enfin, la version finale du Règlement introduit un nouveau paragraphe 5 selon lequel le responsable doit veiller à mettre en place une procédure de révision afin de s’assurer que le traitement soit conforme à l’analyse d’impact, au moins lorsqu’apparaît une modification du risque généré par les activités de traitement (art. 35, § 11).

La Directive

Aucune disposition correspondante n’est prévue dans la Directive.

Difficultés probables ?

Une première difficulté est la détermination des traitements dont le risque justifiera la mise en œuvre préalable d’une analyse d’impact. En effet, lorsque le traitement n’est pas visé dans la liste des hypothèses prévues à l’article 35, § 3, l’appréciation du risque et l’initiative d’une analyse d’impact est laissée au responsable du traitement.

La seconde difficulté sera de procéder à l’analyse d’impact elle-même. Il faudra des ressources spécialement compétentes en interne, voire en externe au responsable du traitement. Le coût et les efforts à réaliser seront appréciables et assez lourds, surtout pour des petites structures. Il est vrai que l’ampleur des traitements devrait normalement impliquer des responsables ayant des moyens conséquents, mais ce ne sera pas toujours le cas.

On notera que la CNIL a élaboré et publié au cours de l’été 2015 sa propre méthode pour mener l’étude d’impact sur la vie privée, sous forme de deux guides consacrés respectivement à la démarche méthodologique et à l’outillage (guide sur la méthode : http://www.cnil.fr/fileadmin/documents/Guides_pratiques/CNIL-PIA-1-Methode.pdf  ; guide sur l’outillage : http://www.cnil.fr/fileadmin/documents/Guides_pratiques/CNIL-PIA-2-Outillage.pdf ).

Sommaire

Union Européenne

Belgique

France

Union Européenne

Retour au sommaire

Groupe 29

Lignes directrices concernant l’analyse d’impact relative à la protection des données
(AIPD) - wp248rev.01 (4 octobre 2017)

(Approuvées par le CEPD)

Le règlement (UE) 2016/679 (RGPD) s’appliquera à partir du 25 mai 2018. De la même manière que la directive 2016/680, l’article 35 du RGPD introduit la notion d’analyse d’impact relative à la protection des données (AIPD),

Une AIPD est un processus dont l’objet est de décrire le traitement, d’en évaluer la nécessité ainsi que la proportionnalité et d’aider à gérer les risques pour les droits et libertés des personnes physiques liés au traitement de leurs données à caractère personnel, en les évaluant et en déterminant les mesures nécessaires pour y faire face. Les AIPD sont un outil important au regard du principe de responsabilité, compte tenu de leur utilité pour les responsables du traitement non seulement aux fins du respect des exigences du RGPD, mais également en ce qui concerne leur capacité à démontrer que des mesures appropriées ont été prises pour assurer la conformité au règlement (voir également l’article 24). Autrement dit, une AIPD est un processus qui vise à assurer la conformité aux règles et à pouvoir en apporter la preuve.

En vertu du RGPD, le non-respect des exigences applicables en matière d’AIPD peut donner lieu à des amendes imposées par l’autorité de contrôle compétente. Le fait de ne pas effectuer d’AIPD alors que le traitement est soumis à l’obligation d’une telle analyse (article 35, paragraphes 1, 3 et 4), de réaliser l’analyse d’une manière incorrecte (article 35, paragraphes 2 et 7 à 9) ou de ne pas consulter l’autorité de contrôle compétente lorsque la situation l’exige (article 36, paragraphe 3, point e), est passible d'une amende administrative pouvant s'élever jusqu'à 10 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu.

Lien

Retour au sommaire

Belgique

Autorité de protection des données

Recommandation d'initiative concernant l'analyse d'impact relative à la protection des données et la consultation préalable n° 01/2018 (28 février 2018)

1. Le Règlement général sur la protection des données (RGPD) prévoit plusieurs nouvelles obligations pour les responsables du traitement. Une des nouvelles obligations figurant dans le RGPD concerne l'obligation de réaliser - dans certaines circonstances - une "analyse d'impact relative à la protection des données", en abrégé "AIPD".

2. Une AIPD est un processus dont l’objet est de décrire le traitement de données à caractère personnel, d’en évaluer la nécessité ainsi que la proportionnalité et d’aider à gérer les risques pour les droits et libertés des personnes physiques qui y sont liés en les évaluant et en déterminant les mesures nécessaires pour y faire face.

3. La Directive Police et Justice (Directive 2016/680) prévoit également une obligation de réaliser une AIPD dans certaines circonstances. Les lignes directrices reprises dans la présente recommandation, qui s'inspirent des dispositions du RGPD, s'appliquent mutatis mutandis pour l'interprétation des dispositions pertinentes de la Directive 2016/680.

4. Le but de la présente recommandation est de fournir des explications plus détaillées concernant : (1) les circonstances dans lesquelles une AIPD est obligatoire (section 3) ; (2) les éléments essentiels d’une AIPD (section 5) ; (3) les circonstances dans lesquelles une consultation préalable est obligatoire (section 6) ; (4) les acteurs qui doivent être impliqués dans une AIPD (section 7) ; et (5) plusieurs dispositions particulières (section 8).

5. Un précédent projet de recommandation a été soumis à une consultation publique du 20 décembre 2016 au 28 février 2017. La présente recommandation tient compte des remarques et suggestions qui ont été formulées par des entreprises, des fédérations sectorielles et des universitaires, ainsi que de la version finale des lignes directrices du Groupe de protection des données Article 29 promulguées en octobre 2017.

6. La présente recommandation ne comporte aucun modèle établi, ni de vade-mecum pour la réalisation d'une AIPD. Bien qu'il existe plusieurs modèles et vade-mecum, la Commission encourage les fédérations sectorielles à élaborer des codes de conduite adaptés aux traitements de données au sein de leur secteur et qui sont adaptés en particulier aux besoins des petites, moyennes et micro- entreprises. Il n'est toutefois pas exclu qu'à l'avenir, la Commission mette à disposition un formulaire et/ou un vade-mecum complémentaire qui pourrait servir de point de départ à la réalisation d'une AIPD ou dans le cadre d'une consultation préalable. 

Lien

Retour au sommaire

France

CNIL

Le logiciel open source PIA permet d'effectuer une évaluation de l'impact sur la protection des données

Lien

Lignes directrices sur les analyses d’impact relatives à la protection des données (AIPD) prévues par le règlement général sur la protection des données (RGPD) 

Le règlement général sur la protection des données (RGPD) promeut le principe de responsabilisation des organismes, dont la mise en œuvre concrète repose notamment sur la réalisation d’analyses d’impact relatives à la protection des données (AIPD ou Privacy Impact Assessment - PIA) pour les traitements susceptibles d’engendrer un risque élevé pour les droits et les libertés des personnes.

En propos liminaires, la Commission nationale de l’informatique et des libertés rappelle l’importance des AIPD qui, au-delà de leur caractère obligatoire dans certaines hypothèses et des sanctions encourues en cas de méconnaissance de cette obligation, permettent à chaque responsable de traitement concerné d’identifier les garanties nécessaires afin d’assurer et de démontrer la conformité du traitement qu’il envisage de mettre en œuvre au regard des exigences du RGPD. Les AIPD sont avant tout l’occasion de mener une réflexion interne, spécifique à chaque traitement, de nature à garantir de manière opérationnelle le respect des principes relatifs à la protection des données et de pouvoir, le cas échéant, le démontrer.

La commission a donc souhaité accompagner les responsables de traitement dans cette démarche essentielle en leur proposant différents outils tels que des guides méthodologiques ainsi qu’un logiciel d’aide à la rédaction des AIPD, disponibles sur son site. En complément de celles adoptées le 4 octobre 2017 au niveau européen par le groupe de travail « article 29 » (G29), et reprises à son compte par le Comité européen à la protection des données (CEPD) le 25 mai 2018, la commission a également estimé utile d’adopter des lignes directrices afin de préciser le périmètre de l’obligation d’effectuer une AIPD, les conditions de réalisation de celle-ci et, enfin, les cas dans lesquels une AIPD doit lui être transmise.

Les responsables de traitement concernés par la réalisation d’une AIPD pourront également se reporter aux référentiels sectoriels que la commission a adoptés afin, d’une part, d’évaluer la nécessité et la proportionnalité des opérations de traitement envisagées ou mises en œuvre et, d’autre part, d’identifier les garanties devant être apportées pour protéger les droits et libertés des personnes dont les données seront traitées. Ces référentiels pourront éclairer utilement les responsables de traitement sur les attentes de la commission.

La commission pourra par ailleurs, dans certains cas, donner à ces référentiels un effet juridique, en exonérant de la réalisation d’AIPD les responsables de traitement qui s’y conformeraient strictement. Chaque référentiel précisera les effets qui lui sont attachés (référentiel servant de simple aide à la rédaction des AIPD ; référentiel permettant d’être exonéré de la réalisation d’une AIPD).

Lien

Liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise

Lien

Liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données n’est pas requise

Lien

Analyse d'impact relative à la protection des données: la méthode (février 2018)

Lien

Analyse d'impact relative à la protection des données: les modèles (février 2018)

Lien

Retour au sommaire

Sommaire

Belgique

France

Belgique

C. const. Be., n°118/2020 (24 septembre 2020)

1. Le règlement général sur la protection des données est directement applicable aux traitements de données à caractère personnel en droit interne. Ainsi, les obligations qu’il impose au responsable du traitement et les droits qu’il confère à la personne concernée sont directement applicables aux traitements de données à caractère personnel par les bureaux d’aide juridique.

Il s’ensuit que la disposition attaquée, qui se borne à habiliter le Roi à autoriser les bureaux d’aide juridique à procéder à un traitement de données à caractère personnel déterminé et à en organiser les modalités, ne viole pas les articles 10, 11 et 22 de la Constitution, combinés avec les articles 5, 6, 9, 10, 13 et 32 du règlement général sur la protection des données, avec les articles 7, 8 et 52 de la Charte des droits fondamentaux de l’Union européenne et avec l’article 8 de la Convention européenne des droits de l’homme.

2. Lorsque le traitement de données à caractère personnel est susceptible d’engendrer un « risque élevé pour les droits et libertés des personnes physiques », le responsable du traitement doit effectuer, préalablement au traitement, une analyse d’impact des opérations de traitement envisagées sur la protection des données à caractère personnel, conformément à l’article 35 du règlement général sur la protection des données. Ensuite, en vertu de l’article 36 du même règlement, lorsque l’analyse d’impact indique que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque, le responsable du traitement doit consulter l’autorité de contrôle préalablement au traitement.

Sans se prononcer sur la compétence de la Cour à connaître de griefs relatifs au processus ou aux modalités d’élaboration de la disposition attaquée, il y a lieu de constater que la partie requérante n’indique pas en quoi l’autorisation, donnée aux bureaux d’aide juridique, de demander des pièces justificatives à des tiers engendrerait un « risque élevé pour les droits et libertés des personnes physiques » au sens du règlement général sur la protection des données.

Arrêt rendu

C. const. Be., n°2/2021 (14 janvier 2021)

1. Suivant l’article 35.10 du RGPD, la réalisation d’une analyse d’impact générale dans le cadre de l’adoption d’une disposition législative relative à un traitement susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques est facultative mais que si, néanmoins, une telle analyse d’impact est effectuée, il n’y a en principe pas lieu d’effectuer une nouvelle analyse d’impact avant le traitement.

L’article 35 du RGPD ne s’oppose donc pas à la réalisation d’une analyse d’impact lors de l’élaboration des arrêtés d’exécution de la disposition attaquée.

Ce constat ne porte pas préjudice à l’obligation pour les États membres de consulter

« l’autorité de contrôle dans le cadre de l’élaboration d’une proposition de mesure législative devant être adoptée par un parlement national, ou d’une mesure réglementaire fondée sur une telle mesure législative, qui se rapporte au traitement », conformément à l’article 36, paragraphe 4, du RGPD, obligation à laquelle le législateur a déféré en l’espèce.

2. La disposition attaquée est pertinente en vue de la réalisation des objectifs poursuivis, dès lors que la conservation de l’image numérisée des empreintes digitales sur la carte d’identité est susceptible, d’une part, de réduire le risque de falsification des cartes d’identité et de faciliter la tâche des autorités chargées d’examiner, notamment aux frontières, l’authenticité de celles-ci et, d’autre part, de prévenir l’utilisation frauduleuse des cartes d’identité.

L’absence de fiabilité totale du procédé et l’impossibilité corrélative d’exclure complètement la non-détection de certains cas de fraude à la ressemblance ne conduisent pas à une conclusion différente.

En ce qu’elle prévoit le prélèvement de deux empreintes digitales et la conservation de l’image numérisée de celles-ci sur la carte d’identité, la disposition attaquée ne viole pas le droit au respect de la vie privée et le droit à la protection des données à caractère personnel, tels qu’ils sont garantis par les articles 1er à 4, 25 et 32 du RGPD.

3. Les instances habilitées à lire les empreintes digitales le sont uniquement dans le cadre de l’exercice de leurs fonctions, telles que celles-ci sont légalement décrites.

Il leur appartient de mettre en œuvre cette habilitation dans le respect des principes applicables en matière de protection des données à caractère personnel. Conformément à l’article 9, paragraphe 2, point g), du RGPD, il ne peut être procédé au traitement de données à caractère personnel sensibles que si ce traitement est nécessaire et proportionné aux motifs d’intérêt public important poursuivis, ce qui implique que la vérification des empreintes digitales ne doit intervenir qu’après vérification en priorité de l’image faciale et que si elle est « nécessaire pour confirmer sans aucun doute l’authenticité du document et l’identité du titulaire ».

La mise en œuvre de ces obligations relève de l’application de la loi, pour laquelle la Cour n’est pas compétente.

Pour le surplus, les parties requérantes n’expliquent pas en quoi, dans le cadre de l’exercice de leurs fonctions, les services de police pourraient lire l’image numérisée des empreintes digitales à d’autres fins que la vérification de l’authenticité de la carte d’identité ou de l’identité du titulaire.

Arrêt rendu

Retour au sommaire

France

Jurisprudence française

CE Fr., n°434376 (6 novembre 2019)

Concerne : Instruction du ministre de la cohésion des territoires et des relations avec les collectivités territoriales et du ministre de l'intérieur, prise dans le cadre de leur pouvoir d'organisation des services placés sous leur autorité, définissant les caractéristiques du traitement de données, prenant la forme de la transmission d'informations des services intégrés d'accueil et d'orientation (SIAO) à l'Office français de l'immigration et de l'intégration (OFII) prévu à l'article L. 744-6 du code de l'entrée et du séjour des étrangers et du droit d'asile (CESEDA) ainsi que les garanties qui l'entourent.

1) L'article 35 du RGPD prévoit que le responsable du traitement effectue une analyse d'impact relative à la protection des données lorsque le traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques. Si cette analyse incombe au responsable du traitement, sa réalisation est en principe préalable à la mise en œuvre du traitement et l'analyse doit être actualisée après le lancement effectif du traitement afin de garantir en permanence une prise en compte adaptée des risques pour les droits et libertés des personnes physiques liés au traitement de leurs données à caractère personnel.

2) Ainsi, alors que la réalisation d'une analyse d'impact d'un traitement de données personnelles, dont l'absence peut donner lieu à des sanctions par la CNIL en application de l'article 20 de la loi n°78-17 du 6 janvier 1978, est liée à la mise en œuvre de ce traitement, la seule circonstance, invoquée par les associations requérantes, qu'elle n'aurait pas été réalisée avant la signature de l'instruction n'est pas de nature à entacher celle-ci d'illégalité. Le moyen tiré de la méconnaissance par l'instruction attaquée de l'article 35 du RGPD doit par suite et en tout état de cause être écarté.

Arrêt rendu

CE Fr., n°447513 (24 décembre 2021)

Il résulte de l'article 90 de la loi n° 78-17 du 6 janvier 1978, applicable aux traitements de données à caractère personnel relevant de la directive (UE) 2016/80 du 27 avril 2016, mis en œuvre à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces, que, lorsqu'est exigée une analyse d'impact préalablement à la création ou à la modification d'un tel traitement mis en œuvre pour le compte de l'Etat, il appartient à l'administration, à peine d'irrégularité de l'acte instituant ou modifiant ce traitement, de la réaliser et de la transmettre à la CNIL dans le cadre de la demande d'avis prévue à l'article 33 de la loi du 6 janvier 1978.

Arrêt rendu

Retour au sommaire
Règlement
1e 2e

Art. 35

1. Lorsqu'un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l'impact des opérations de traitement envisagées sur la protection des données à caractère personnel.Une seule et même analyse peut porter sur un ensemble d'opérations de traitement similaires qui présentent des risques élevés similaires.

2. Lorsqu'il effectue une analyse d'impact relative à la protection des données, le responsable du traitement demande conseil au délégué à la protection des données, si un tel délégué a été désigné.

3. L'analyse d'impact relative à la protection des données visée au paragraphe 1 est, en particulier, requise dans les cas suivants:

a) l'évaluation systématique et approfondie d'aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l'égard d'une personne physique ou l'affectant de manière significative de façon similaire;

b) le traitement à grande échelle de catégories particulières de données visées à l'article 9, paragraphe 1, ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article 10; ou

c) la surveillance systématique à grande échelle d'une zone accessible au public.

4. L'autorité de contrôle établit et publie une liste des types d'opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données est requise conformément au paragraphe 1. L'autorité de contrôle communique ces listes au comité visé à l'article 68.

5. L'autorité de contrôle peut aussi établir et publier une liste des types d'opérations de traitement pour lesquelles aucune analyse d'impact relative à la protection des données n'est requise. L'autorité de contrôle communique cette liste au comité

6. Avant d'adopter les listes visées aux paragraphes 4 et 5, l'autorité de contrôle compétente applique le mécanisme de contrôle de la cohérence visé à l'article 63, lorsque ces listes comprennent des activités de traitement liées à l'offre de biens ou de services à des personnes concernées ou au suivi de leur comportement dans plusieurs États membres, ou peuvent affecter sensiblement la libre circulation des données à caractère personnel au sein de l'Union.

7. L'analyse contient au moins:

a) une description systématique des opérations de traitement envisagées et des finalités du traitement, y compris, le cas échéant, l'intérêt légitime poursuivi par le responsable du traitement;

b) une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités;

c) une évaluation des risques pour les droits et libertés des personnes concernées conformément au paragraphe 1; et

d) les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du présent règlement, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes affectées

8. Le respect, par les responsables du traitement ou sous-traitants concernés, de codes de conduite approuvés visés à l'article 40 est dûment pris en compte lors de l'évaluation de l'impact des opérations de traitement effectuées par lesdits responsables du traitement ou sous-traitants, en particulier aux fins d'une analyse d'impact relative à la protection des données.

9. Le cas échéant, le responsable du traitement demande l'avis des personnes concernées ou de leurs représentants au sujet du traitement prévu, sans préjudice de la protection des intérêts généraux ou commerciaux ou de la sécurité des opérations de traitement.

10. Lorsque le traitement effectué en application de l'article 6, paragraphe 1, point c) ou e), a une base juridique dans le droit de l'Union ou dans le droit de l'État membre auquel le responsable du traitement est soumis, que ce droit règlemente l'opération de traitement spécifique ou l'ensemble des opérations de traitement en question et qu'une analyse d'impact relative à la protection des données a déjà été effectuée dans le cadre d'une analyse d'impact générale réalisée dans le cadre de l'adoption de la base juridique en question, les paragraphes 1 à 7 ne s'appliquent pas, à moins que les États membres n'estiment qu'il est nécessaire d'effectuer une telle analyse avant les activités de traitement.

11. Si nécessaire, le responsable du traitement procède à un examen afin d'évaluer si le traitement est effectué conformément à l'analyse d'impact relative à la protection des données, au moins quand il se produit une modification du risque présenté par les opérations de traitement.

Proposition 1 close

1. Lorsque les traitements présentent des risques particuliers au regard des droits et libertés des personnes concernées du fait de leur nature, de leur portée ou de leurs finalités, le responsable du traitement ou le sous-traitant agissant pour le compte du responsable du traitement effectuent une analyse de l'impact des traitements envisagés sur la protection des données à caractère personnel.

2. Les traitements présentant les risques particuliers visés au paragraphe 1 sont notamment les suivants:

a) l'évaluation systématique et à grande échelle des aspects personnels propres à une personne physique ou visant à analyser ou à prévoir, en particulier, la situation économique de ladite personne physique, sa localisation, son état de santé, ses préférences personnelles, sa fiabilité ou son comportement, qui est fondée sur un traitement automatisé et sur la base de laquelle sont prises des mesures produisant des effets juridiques concernant ou affectant de manière significative ladite personne;

b) le traitement d'informations relatives à la vie sexuelle, à la santé, à l'origine raciale et ethnique ou destinées à la fourniture de soins de santé, à des recherches épidémiologiques ou à des études relatives à des maladies mentales ou infectieuses, lorsque les données sont traitées aux fins de l'adoption de mesures ou de décisions à grande échelle visant des personnes précises;

c) la surveillance de zones accessibles au public, en particulier lorsque des dispositifs opto-électroniques (vidéosurveillance) sont utilisés à grande échelle;

d) le traitement de données à caractère personnel dans des fichiers informatisés de grande ampleur concernant des enfants, ou le traitement de données génétiques ou biométriques;

e) les autres traitements pour lesquels la consultation de l'autorité de contrôle est requise en application à l'article 34, paragraphe 2, point b).

3. L'analyse contient au moins une description générale des traitements envisagés, une évaluation des risques pour les droits et libertés des personnes concernées, les mesures envisagées pour faire face aux risques, les garanties, mesures de sécurité et mécanismes visant à assurer la protection des données à caractère personnel et à apporter la preuve de la conformité avec le présent règlement, en tenant compte des droits et intérêts légitimes des personnes concernées par les données et des autres personnes touchées. 4. Le responsable du traitement demande l'avis des personnes concernées ou de leurs représentants au sujet du traitement prévu, sans préjudice de la protection des intérêts généraux ou commerciaux ni de la sécurité des traitements.

5. Lorsque le responsable du traitement est une autorité ou un organisme publics, et lorsque le traitement est effectué en exécution d'une obligation légale conforme à l'article 6, paragraphe 1, point c), prévoyant des règles et des procédures relatives aux traitements et réglementées par le droit de l'Union, les paragraphes 1 à 4 ne s'appliquent pas, sauf si les États membres estiment qu'une telle analyse est nécessaire avant le traitement.

6. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et conditions applicables aux traitements susceptibles de présenter les risques particuliers visés aux paragraphes 1 et 2, ainsi que les exigences applicables à l’analyse prévue au paragraphe 3, y compris les conditions de modularité, de vérification et d'auditabilité. Ce faisant, la Commission envisage des mesures spécifiques pour les micro, petites et moyennes entreprises.

7. La Commission peut définir des normes et procédures pour la réalisation, la vérification et l’audit de l'analyse visée au paragraphe 3. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2.

Proposition 2 close

1. Lorsqu'un type de traitement, en particulier par le recours aux nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d'exposer les personnes physiques à un risque élevé au regard de leurs droits et libertés, par exemple une discrimination, un vol ou une usurpation d'identité, une perte financière, une atteinte à la réputation, un renversement non autorisé de la pseudonymisation, une perte de confidentialité de données protégées par le secret professionnel ou tout autre dommage économique ou social important, le responsable du traitement (…) effectue avant le traitement une analyse de l'impact des traitements envisagés sur la protection des données à caractère personnel. (…)

1 bis. Lorsqu'il effectue une analyse d'impact relative à la protection des données, le responsable du traitement demande conseil au délégué à la protection des données, si un tel délégué a été désigné.

2. L'analyse d'impact relative à la protection des données visée au paragraphe 1 est en particulier requise dans les cas suivants:

a) l'évaluation systématique et à grande échelle (…) des aspects personnels propres à (…) des personnes physiques (…), qui est fondée sur le profilage et sur la base de laquelle sont prises des décisions produisant des effets juridiques concernant des personnes concernées ou affectant gravement lesdites personnes;

b) le traitement des catégories particulières de données à caractère personnel visées à l'article 9, paragraphe 1 (...), de données biométriques ou de données se rapportant à des condamnations ou des infractions pénales, ou encore à des mesures de sûreté connexes, lorsque les données sont traitées aux fins de l'adoption de (…) décisions à grande échelle visant certaines personnes;

c) la surveillance à grande échelle de zones accessibles au public, en particulier lorsque des dispositifs opto-électroniques (…) sont utilisés;

d) (…);

e) (…).

2 bis. L'autorité de contrôle établit et publie une liste des types de traitements soumis à l'obligation d'une analyse d'impact relative à la protection des données conformément au paragraphe 1. L'autorité de contrôle communique cette liste au comité européen de la protection des données.

2 ter. L'autorité de contrôle peut aussi établir et publier une liste des types de traitements pour lesquels aucune analyse d'impact relative à la protection des données n'est requise. L'autorité de contrôle communique cette liste au comité européen de la protection des données.

2 quater. Avant d'adopter les listes visées respectivement aux paragraphes 2 bis et 2 ter, l'autorité de contrôle compétente applique le mécanisme de contrôle de la cohérence prévu à l'article 57, lorsque ces listes comprennent des traitements liés à l'offre de biens ou de services à des personnes concernées ou à l'observation de leur comportement dans plusieurs États membres, ou susceptibles d'affecter sensiblement la libre circulation des données à caractère personnel au sein de l'Union.

3. L'analyse contient au moins une description générale des traitements envisagés, une évaluation du risque visé au paragraphe 1, les mesures envisagées pour faire face au risque y compris les garanties, mesures de sécurité et mécanismes visant à assurer la protection des données à caractère personnel et à apporter la preuve de la conformité avec le présent règlement, en tenant compte des droits et des intérêts légitimes des personnes concernées et des autres personnes touchées

3 bis. Le respect, par les responsables du traitement ou sous-traitants compétents, des codes de conduite approuvés visés à l'article 38 est dûment pris en compte lors de l'évaluation de la légalité et de l'impact des opérations de traitement effectuées par lesdits responsables ou sous-traitants, en particulier aux fins d'une analyse d'impact relative à la protection des données.

4. Le responsable du traitement demande l'avis des personnes concernées ou de leurs représentants au sujet du traitement prévu, sans préjudice de la protection des intérêts généraux ou commerciaux ni de la sécurité des traitements (...).

5. (...) Lorsque le traitement visé à l'article 6, paragraphe 1, point c) ou e), a une base juridique dans le droit de l'Union ou dans la législation de l'État membre à laquelle le responsable du traitement est soumis, et que cette législation régit l'opération ou l'ensemble des opérations de traitement en question, les paragraphes 1 à 3 ne s'appliquent pas, sauf si les États membres estiment qu'une telle analyse est nécessaire avant le traitement.

 6. (…)

Directive close

Aucune disposition correspondante

Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Art. 62

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

Le responsable du traitement effectue préalablement à la mise en œuvre du traitement une analyse d'impact des opérations de traitement envisagées sur la protection des données à caractère personnel dans les conditions prévues à l'article 35 du règlement (UE) 2016/679 du 27 avril 2016.

Ancienne loi close

Aucune disposition correspondante

close