menu MENU
arrow_back Retour à tous les articles
Changer de pays (Actuellement : France) language
Contactez notre membre local en France mail_outline
Visitez le site web de Ulys account_balance

arrow_backArticle précédent
Article 35
Article suivantarrow_forward

Analyse d'impact relative à la protection des données

Textes
Officiels Guidelines
& Jurisprudence Analyse du
droit européen Analyse du
droit national
Afficher les articles et mots clés liés à l’article 35 du Règlement keyboard_arrow_down Cacher les articles et mots clés liés à l’article 35 keyboard_arrow_up

Articles liés à l'article 35

Mots clés liés à l'article 35

Afficher les considérants du Règlement liés à l'article 35 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 35 keyboard_arrow_up

(72) Le profilage est soumis aux règles du présent règlement régissant le traitement des données à caractère personnel, par exemple le fondement juridique du traitement ou les principes en matière de protection des données. Le comité européen de la protection des données établi par le présent règlement (ci-après dénommé "comité") devrait pouvoir publier des directives à cet égard.

(84) Afin de mieux garantir le respect du présent règlement lorsque les opérations de traitement sont susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement devrait assumer la responsabilité d'effectuer une analyse d'impact relative à la protection des données pour évaluer, en particulier, l'origine, la nature, la particularité et la gravité de ce risque. Il convient de tenir compte du résultat de cette analyse pour déterminer les mesures appropriées à prendre afin de démontrer que le traitement des données à caractère personnel respecte le présent règlement. Lorsqu'il ressort de l'analyse d'impact relative à la protection des données que les opérations de traitement des données comportent un risque élevé que le responsable du traitement ne peut atténuer en prenant des mesures appropriées compte tenu des techniques disponibles et des coûts liés à leur mise en oeuvre, il convient que l'autorité de contrôle soit consultée avant que le traitement n'ait lieu.

(89) La directive 95/46/CE prévoyait une obligation générale de notifier les traitements de données à caractère personnel aux autorités de contrôle. Or, cette obligation génère une charge administrative et financière, sans pour autant avoir systématiquement contribué à améliorer la protection des données à caractère personnel. Ces obligations générales de notification sans distinction devraient dès lors être supprimées et remplacées par des procédures et des mécanismes efficaces ciblant plutôt les types d'opérations de traitement susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes physiques, du fait de leur nature, de leur portée, de leur contexte et de leurs finalités. Ces types d'opérations de traitement peuvent inclure ceux qui, notamment, impliquent le recours à de nouvelles technologies ou qui sont nouveaux et pour lesquels aucune analyse d'impact relative à la protection des données n'a été effectuée au préalable par le responsable du traitement, ou qui deviennent nécessaires compte tenu du temps écoulé depuis le traitement initial.

(90) Dans de tels cas, une analyse d'impact relative à la protection des données devrait être effectuée par le responsable du traitement, préalablement au traitement, en vue d'évaluer la probabilité et la gravité particulières du risque élevé, compte tenu de la nature, de la portée, du contexte et des finalités du traitement et des sources du risque. Cette analyse d'impact devrait comprendre, notamment, les mesures, garanties et mécanismes envisagés pour atténuer ce risque, assurer la protection des données à caractère personnel et démontrer le respect du présent règlement.

(91) Cela devrait s'appliquer en particulier aux opérations de traitement à grande échelle qui visent à traiter un volume considérable de données à caractère personnel au niveau régional, national ou supranational, qui peuvent affecter un nombre important de personnes concernées et qui sont susceptibles d'engendrer un risque élevé, par exemple, en raison de leur caractère sensible, lorsque, en conformité avec l'état des connaissances technologiques, une nouvelle technique est appliquée à grande échelle, ainsi qu'à d'autres opérations de traitement qui engendrent un risque élevé pour les droits et libertés des personnes concernées, en particulier lorsque, du fait de ces opérations, il est plus difficile pour ces personnes d'exercer leurs droits. Une analyse d'impact relative à la protection des données devrait également être effectuée lorsque des données à caractère personnel sont traitées en vue de prendre des décisions relatives à des personnes physiques spécifiques à la suite d'une évaluation systématique et approfondie d'aspects personnels propres à des personnes physiques sur la base du profilage desdites données ou à la suite du traitement de catégories particulières de données à caractère personnel, de données biométriques ou de données relatives à des condamnations pénales et à des infractions, ou encore à des mesures de sûreté connexes. Une analyse d'impact relative à la protection des données est de même requise aux fins de la surveillance à grande échelle de zones accessibles au public, en particulier lorsque des dispositifs opto-électroniques sont utilisés, ou pour toute autre opération pour laquelle l'autorité de contrôle compétente considère que le traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées, en particulier parce qu'elles empêchent ces personnes d'exercer un droit ou de bénéficier d'un service ou d'un contrat, ou parce qu'elles sont effectuées systématiquement à grande échelle. Le traitement de données à caractère personnel ne devrait pas être considéré comme étant à grande échelle si le traitement concerne les données à caractère personnel de patients ou de clients par un médecin, un autre professionnel de la santé ou un avocat exerçant à titre individuel. Dans de tels cas, une analyse d'impact relative à la protection des données ne devrait pas être obligatoire.

(92) Il existe des cas dans lesquels il peut être raisonnable et économique d'élargir la portée de l'analyse d'impact relative à la protection des données au-delà d'un projet unique, par exemple lorsque des autorités publiques ou organismes publics entendent mettre en place une application ou une plateforme de traitement commune, ou lorsque plusieurs responsables du traitement envisagent de créer une application ou un environnement de traitement communs à tout un secteur ou segment professionnel, ou pour une activité transversale largement utilisée.

(93) Au moment de l'adoption du droit d'un État membre qui fonde l'exercice des missions de l'autorité publique ou de l'organisme public concernés et qui règlemente l'opération ou l'ensemble d'opérations de traitement spécifiques, les États membres peuvent estimer qu'une telle analyse est nécessaire préalablement aux activités de traitement.

(94) Lorsqu'il ressort d'une analyse d'impact relative à la protection des données que, en l'absence des garanties, de mesures de sécurité et de mécanismes pour atténuer le risque, le traitement engendrerait un risque élevé pour les droits et libertés des personnes physiques et que le responsable du traitement est d'avis que le risque ne peut être atténué par des moyens raisonnables compte tenu des techniques disponibles et des coûts de mise en oeuvre, il y a lieu de consulter l'autorité de contrôle avant le début des opérations de traitement. Certains types de traitements et l'ampleur et la fréquence des traitements sont susceptibles d'engendrer un tel risque élevé et peuvent également causer un dommage ou porter atteinte aux droits et libertés d'une personne physique. L'autorité de contrôle devrait répondre à la demande de consultation dans un délai déterminé. Toutefois, l'absence de réaction de l'autorité de contrôle dans le délai imparti devrait être sans préjudice de toute intervention de sa part effectuée dans le cadre de ses missions et de ses pouvoirs prévus par le présent règlement, y compris le pouvoir d'interdire des opérations de traitement. Dans le cadre de ce processus de consultation, les résultats d'une analyse d'impact relative à la protection des données réalisée en ce qui concerne le traitement en question peuvent être soumis à l'autorité de contrôle, notamment les mesures envisagées pour atténuer le risque pour les droits et libertés des personnes physiques.

(95) Le sous-traitant devrait aider le responsable du traitement, si nécessaire et sur demande, à assurer le respect des obligations découlant de la réalisation des analyses d'impact relatives à la protection des données et de la consultation préalable de l'autorité de contrôle.

Il n'y pas de considérant de la Directive 95/46 lié à l'article 35.

Le GDPR

L’objectif du législateur européen est également ici –comme pour la tenue d’un registre interne des activités de traitements -cfr l’article 30- de remplacer l’obligation générale de notification préalable des traitements par des mécanismes efficaces ciblant plutôt les traitements susceptibles de présenter des risques particuliers pour les droits et libertés des personnes concernées.

L’obligation de réaliser une analyse d’impact pour certains traitements « à haut risque » s’inscrit dans cette logique : lorsqu’un traitement est susceptible d’exposer les personnes à un risque élevé au regard de leurs droits et libertés, notamment ceux qui recourent aux nouvelles technologies,  le responsable doit effectuer une analyse d'impact relative à la protection des données pour évaluer, en particulier, l'origine, la nature, la portée, le contexte, la particularité et la gravité de ce risque.

Dans sa deuxième version, l’article 35, paragraphe § 1er contenait une énumération non exhaustive des risques qui justifient une analyse d’impact tels que une discrimination, un vol ou une usurpation d'identité, une perte financière, une atteinte à la réputation, un renversement non autorisé de la pseudonymisation, une perte de confidentialité de données protégées par le secret professionnel ou tout autre dommage économique ou social important. Toutefois, à l’image des articles 33 et 34 cette énumération des risques a été supprimée dans la version finale du Règlement.

Selon le considérant 91, l’analyse d’impact est spécialement requise pour les opérations de traitement à grande échelle, qui servent à traiter un volume considérable de données à caractère personnel à un niveau régional, national ou supranational et qui peuvent affecter un nombre important de personnes concernées. On pense bien évidemment aux grands processus de Big Data mis en œuvre par exemple via les réseaux sociaux.

Objet. L’analyse d’impact vise à évaluer la probabilité et la gravité du risque afin de déterminer, à partir du résultat de l’évaluation, les mesures appropriées à prendre afin de démontrer que le traitement des données à caractère personnel est conforme à la réglementation européenne en matière de protection de données personnelles. La version finale du Règlement précise qu’une analyse d’impact unique peut porter sur un ensemble d’opérations de traitement qui présentent le même niveau de risque.

Dans sa dernière version, le Règlement clarifie et complète au § 7 de l’article 35 le contenu de l’analyse d’impact à réaliser. L’analyse doit au moins contenir :

-une description systématique des activités traitements envisagés et des finalités poursuivies, en ce compris le cas échéant une description des intérêts légitimes poursuivis par le responsable (a) ;

- une analyse de la nécessité et de la proportionnalité des activités de traitement au regard des finalités poursuivies (b) ;

- une évaluation du risque pour les droits et libertés des personnes concernées (c) ;

- les mesures envisagées pour atténuer ce risque y compris les garanties, mesures de sécurité et mécanismes visant à assurer la protection des données à caractère personnel et à apporter la preuve de la conformité du traitement avec le Règlement, en tenant compte des droits et des intérêts légitimes des personnes concernées et des autres personnes touchées (d).

Si un délégué à la protection des données a été désigné, ce dernier doit être consulté lorsque le responsable effectue une analyse d’impact relative à la protection des données (article 35, § 2).

Sur première demande, le sous-traitant doit également assister le responsable afin d’assurer le respect des obligations découlant des analyses d'impact relatives à la protection des données et, le cas échéant, de la consultation préalable de l'autorité de contrôle (considérant 95).

Il doit tenir également être dûment tenu compte du respect par le responsable des codes de conduites approuvés en vertu de l’article 40 lors de l’évaluation de la légalité et de l’impact des opérations de traitement dans le cadre d’une analyse d’impact (cfr. art. 35, § 8).

Dans les cas appropriés, le responsable doit également demander l'avis des personnes concernées ou de leurs représentants au sujet du traitement prévu, sans préjudice de la protection des intérêts généraux ou commerciaux ni de la sécurité des traitements (article 35, § 9).

Cas d’application. L’article 35, paragraphe 3, contient une liste exemplative d’hypothèses où l’analyse d’impact s’impose, tels que le profilage ou le traitement à grande échelle de données sensibles :

- Lorsque le responsable envisage de procéder à l’évaluation systématique des aspects personnels propres à des personnes physiques, sur la base d’un traitement automatisé, incluant le profilage, et sur laquelle sont fondées des décisions produisant des effets juridiques les concernant ou les affectant gravement ;

- Lorsque le responsable traite, à large échelle, des données sensibles au sens de l’article 9, paragraphe 1 ou des données se rapportant à des condamnations ou des infractions au sens de l’article 10 du Règlement ;

- Lorsque le responsable procède à une surveillance systématique à grande échelle de zones accessibles au public.

Avis de l’autorité de contrôle. Si l’analyse révèle que le risque lié au traitement ne peut être atténué par des moyens raisonnables compte tenu des techniques disponibles et des coûts liés à leur mise en œuvre, le responsable doit consulter l’autorité de contrôle (cfr. art. 36, §  2 et les considérants 84 et 94). Si l’autorité de contrôle estime que le traitement emporte violation du règlement, elle rend un avis écrit au responsable et, le cas échéant au sous-traitant, dans un délai de huit semaines, prolongeable de six semaines en cas de complexité du traitement. Ces délais sont suspendus tant que l’autorité de contrôle n’a pas obtenu toutes les informations demandées pour sa consultation.

En outre, les paragraphes 4 et 5  confèrent à l’autorité de contrôle le pouvoir d’établir une liste de catégories de traitements soumis ou non à l’obligation d’analyse d’impact préalable ainsi qu’une liste de catégories de traitements dispensés de l’obligation d’analyse d’impact préalable.

Ces listes doivent être communiquées au Contrôleur européen à la protection des données et soumises au préalable au mécanisme de contrôle de la cohérence prévue aux articles 63 et suivants, si elles contiennent des traitements liés à l'offre de biens ou de services à des personnes concernées ou à l'observation de leur comportement dans plusieurs États membres, ou encore sont susceptibles d'affecter sensiblement la libre circulation des données à caractère personnel au sein de l'Union (article 35, paragraphe 6). En d’autres termes, dans ces cas, l’autorité de contrôle doit soumettre pour avis au Comité européen de la protection des données la liste de traitements soumis à l'exigence d'une analyse d'impact relative à la protection des données (cfr. art. 64, paragraphe 1er, a)).

Exceptions. Le considérant 91 précise que l’analyse d’impact n’est pas obligatoire si le traitement de ces données est protégé par le secret professionnel, à l’instar des traitements des données à caractère personnel de patients ou clients par un médecin individuel, un professionnel de la santé, un hôpital ou un avocat.

L’analyse d’impact n’est pas non plus obligatoire si le traitement est régi par une base légale à laquelle le responsable est soumis et que le traitement est nécessaire au respect de cette loi au sens de l’article 6.1. c) ou à l’exécution d’une mission d’intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement au sens de l’art. 6.1.e, sauf si les Etats membre l’estiment nécessaire (art. 35, § 10). 

Révision de l’analyse. Enfin, la version finale du Règlement introduit un nouveau paragraphe 5 selon lequel le responsable doit veiller à mettre en place une procédure de révision afin de s’assurer que le traitement soit conforme à l’analyse d’impact, au moins lorsqu’apparaît une modification du risque généré par les activités de traitement (art. 35, § 11).

La Directive

Aucune disposition correspondante n’est prévue dans la Directive.

Difficultés probables ?

Une première difficulté est la détermination des traitements dont le risque justifiera la mise en œuvre préalable d’une analyse d’impact. En effet, lorsque le traitement n’est pas visé dans la liste des hypothèses prévues à l’article 35, § 3, l’appréciation du risque et l’initiative d’une analyse d’impact est laissée au responsable du traitement.

La seconde difficulté sera de procéder à l’analyse d’impact elle-même. Il faudra des ressources spécialement compétentes en interne, voire en externe au responsable du traitement. Le coût et les efforts à réaliser seront appréciables et assez lourds, surtout pour des petites structures. Il est vrai que l’ampleur des traitements devrait normalement impliquer des responsables ayant des moyens conséquents, mais ce ne sera pas toujours le cas.

On notera que la CNIL a élaboré et publié au cours de l’été 2015 sa propre méthode pour mener l’étude d’impact sur la vie privée, sous forme de deux guides consacrés respectivement à la démarche méthodologique et à l’outillage (guide sur la méthode : http://www.cnil.fr/fileadmin/documents/Guides_pratiques/CNIL-PIA-1-Methode.pdf  ; guide sur l’outillage : http://www.cnil.fr/fileadmin/documents/Guides_pratiques/CNIL-PIA-2-Outillage.pdf ).

arrow_back Article précédentArticle 35Article suivant arrow_forward
arrow_back Article précédentArticle 35 Article suivant arrow_forward

Groupe 29

Lignes directrices concernant l’analyse d’impact relative à la protection des données
(AIPD) et la manière de déterminer si le traitement est «susceptible d’engendrer un
risque élevé» aux fins du règlement (UE) 2016/679 (4 octobre 2017)

(Approuvées par le CEPD)

Le règlement (UE) 2016/679 (RGPD) s’appliquera à partir du 25 mai 2018. De la même manière que la directive 2016/680, l’article 35 du RGPD introduit la notion d’analyse d’impact relative à la protection des données (AIPD),

Une AIPD est un processus dont l’objet est de décrire le traitement, d’en évaluer la nécessité ainsi que la proportionnalité et d’aider à gérer les risques pour les droits et libertés des personnes physiques liés au traitement de leurs données à caractère personnel, en les évaluant et en déterminant les mesures nécessaires pour y faire face. Les AIPD sont un outil important au regard du principe de responsabilité, compte tenu de leur utilité pour les responsables du traitement non seulement aux fins du respect des exigences du RGPD, mais également en ce qui concerne leur capacité à démontrer que des mesures appropriées ont été prises pour assurer la conformité au règlement (voir également l’article 24). Autrement dit, une AIPD est un processus qui vise à assurer la conformité aux règles et à pouvoir en apporter la preuve.

En vertu du RGPD, le non-respect des exigences applicables en matière d’AIPD peut donner lieu à des amendes imposées par l’autorité de contrôle compétente. Le fait de ne pas effectuer d’AIPD alors que le traitement est soumis à l’obligation d’une telle analyse (article 35, paragraphes 1, 3 et 4), de réaliser l’analyse d’une manière incorrecte (article 35, paragraphes 2 et 7 à 9) ou de ne pas consulter l’autorité de contrôle compétente lorsque la situation l’exige (article 36, paragraphe 3, point e), est passible d'une amende administrative pouvant s'élever jusqu'à 10 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu.

Lien

Guidelines 3/2019 on processing of personal data through video devices (29 January 2020)

These guidelines aim at giving guidance on how to apply the GDPR in relation to processing personal data through video devices.

Systematic automated monitoring of a specific space by optical or audio-visual means, mostly for property protection purposes, or to protect individual´s life and health, has become a significant phenomenon of our days. This activity brings about collection and retention of pictorial or audio-visual information on all persons entering the monitored space that are identifiable on basis of their looks or other specific elements. Identity of these persons may be established on grounds of these details. It also enables further processing of personal data as to the persons´ presence and behaviour in the given space. The potential risk of misuse of these data grows in relation to the dimension of the monitored space as well as to the number of persons frequenting the space. This fact is reflected by the General Data Protection Regulation in the Article 35 (3) (c) which requires the carrying out of a data protection impact assessment in case of a systematic monitoring of a publicly accessible area on a large scale, as well as in Article 37 (1) (b) which requires processors to designate a data protection officer, if the processing operation by its nature entails regular and systematic monitoring of data subjects.

Lien

Autres

Délibération n° 2018-303 du 06 septembre 2018 portant adoption d'une recommandation concernant le traitement des données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance et abrogeant la délibération n° 2017-222 du 20 juillet 2017 (CNIL)

La Commission a adopté une délibération, le 19 juin 2003, portant adoption d'une recommandation relative au stockage et à l'utilisation du numéro de carte bancaire dans le secteur de la vente à distance. Dix ans après l'adoption de cette recommandation, la Commission a adopté une nouvelle délibération visant à l'actualiser et à proposer des préconisations concrètes à l'utilisation du numéro de carte bancaire par les professionnels de la vente à distance dans un traitement automatisé. Elle estime aujourd'hui nécessaire d'actualiser sa recommandation au regard de l'évolution des pratiques du commerce en ligne, ainsi que de celle du cadre légal et technologique.

Les dispositions de la présente recommandation, qui abroge celle de 2017, s'appliquent au traitement de données relatives à la carte de paiement (carte interbancaire ou dispositif similaire), ci-après « la carte », lors de toute vente d'un bien ou fourniture d'une prestation de service conclu, sans la présence physique simultanée des parties, entre un consommateur (personne physique) et un professionnel, et qui, pour la conclusion de ce contrat, utilisent exclusivement une ou plusieurs techniques de communication à distance (Internet, téléphone, etc.).

Les cartes de paiement visées sont celles qui permettent notamment d'effectuer des achats chez un commerçant ou un prestataire de services affiliés à un réseau de paiement national ou international (système CB, Visa, MasterCard, etc.) mais aussi les cartes de paiement dites privatives (cartes émises par les commerçants ou par les établissements financiers spécialisés dans le crédit à la consommation) et accréditives (carte présentée par un adhérent à un fournisseur affilié au réseau de l'émetteur de la carte).
La Commission précise que l'article 35 du RGPD prévoit la conduite d'une analyse d'impact relative à la protection des données (AIPD), lorsqu‘un traitement de données personnelles est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées, compte tenu notamment de la nature des données traitées. A cet égard, la Commission rappelle que les données financières, dont les données relatives aux cartes de paiement, sont qualifiées de « données à caractère hautement personnel » compte tenu de la gravité des impacts pour les personnes concernées que leur violation pourrait engendrer (utilisation pour des paiements frauduleux par exemple).
La Commission rappelle aux organismes qui mettraient en œuvre un tel traitement de données de paiement qu'ils sont susceptibles d'être tenus, selon l'ampleur du traitement et les modalités de sa mise en œuvre, de réaliser une AIPD.

Lien

Délibération n° 2019-053 du 25 avril 2019 portant adoption d'une recommandation relative à la sécurité des systèmes de vote par correspondance électronique, notamment via Internet (CNIL)

A titre liminaire, la Commission observe que le constat, réalisé lors de l’adoption de sa recommandation de 2010, du développement et de l’extension des systèmes de vote par correspondance électronique, notamment via Internet, à un nombre croissant d’opérations de vote et de types de vote, reste d’actualité.

La Commission souligne que le recours à de tels systèmes doit s'inscrire dans le respect des principes fondamentaux qui commandent les opérations électorales : le secret du scrutin sauf pour les scrutins publics, le caractère personnel et libre du vote, la sincérité des opérations électorales, la surveillance effective du vote et le contrôle a posteriori par le juge de l'élection. Ces systèmes de vote par correspondance électronique, notamment via Internet, doivent également respecter les prescriptions des textes constitutionnels, législatifs et réglementaires en vigueur.

Devant l’extension continue du vote par Internet à tous types d’élections, la Commission souhaite rappeler que le vote par correspondance électronique, notamment via Internet, présente des difficultés accrues au regard des principes susmentionnés pour les personnes chargées d’organiser le scrutin et celles chargées d’en vérifier le déroulement, principalement à cause de l’opacité et de la technicité importante des solutions mises en œuvre, ainsi que de la très grande difficulté de s’assurer de l’identité et de la liberté de choix de la personne effectuant les opérations de vote à distance.

Au cours des travaux que la Commission a menés depuis 2003 et compte tenu des menaces qui pèsent sur ces dispositifs, elle a, en effet, pu constater que les systèmes de vote existants ne fournissaient pas encore toutes les garanties exigées par les textes légaux. Dès lors et en particulier, compte-tenu des éléments précités, la Commission reste réservée quant à l’utilisation de dispositifs de vote par correspondance électronique, notamment via Internet, pour des élections politiques.

La présente délibération a pour objet de revoir la recommandation de 2010 à l’aune des opérations électorales intervenues depuis, de l’évolution des solutions de vote proposées par les prestataires du secteur, des retours effectués par les différentes parties prenantes, des contrôles réalisés par la CNIL ainsi que de l’évolution du cadre juridique relatif à la protection des données.

La nouvelle recommandation a pour champ d'application les dispositifs de vote par correspondance électronique, en particulier via Internet. Elle ne concerne pas les dispositifs de vote par codes-barres, les dispositifs de vote par téléphone fixe ou mobile, ni les systèmes informatiques mis à disposition des votants sous forme de boîtiers de vote ou en isoloirs (dites machines à voter ). Elle est destinée à fixer, de façon pragmatique, les objectifs de sécurité que doit atteindre tout dispositif de vote par correspondance électronique, notamment via Internet, en fonction des risques que présente le déroulement du vote. Les réponses apportées par les systèmes à ces objectifs de sécurité doivent ainsi prendre en compte le contexte et les menaces qui pèsent sur le scrutin.

Lien

arrow_back Article précédentArticle 35 Article suivant arrow_forward
Règlement
1e 2e

Art. 35

1. Lorsqu'un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l'impact des opérations de traitement envisagées sur la protection des données à caractère personnel.Une seule et même analyse peut porter sur un ensemble d'opérations de traitement similaires qui présentent des risques élevés similaires.

2. Lorsqu'il effectue une analyse d'impact relative à la protection des données, le responsable du traitement demande conseil au délégué à la protection des données, si un tel délégué a été désigné.

3. L'analyse d'impact relative à la protection des données visée au paragraphe 1 est, en particulier, requise dans les cas suivants:

a) l'évaluation systématique et approfondie d'aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l'égard d'une personne physique ou l'affectant de manière significative de façon similaire;

b) le traitement à grande échelle de catégories particulières de données visées à l'article 9, paragraphe 1, ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article 10; ou

c) la surveillance systématique à grande échelle d'une zone accessible au public.

4. L'autorité de contrôle établit et publie une liste des types d'opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données est requise conformément au paragraphe 1. L'autorité de contrôle communique ces listes au comité visé à l'article 68.

5. L'autorité de contrôle peut aussi établir et publier une liste des types d'opérations de traitement pour lesquelles aucune analyse d'impact relative à la protection des données n'est requise. L'autorité de contrôle communique cette liste au comité

6. Avant d'adopter les listes visées aux paragraphes 4 et 5, l'autorité de contrôle compétente applique le mécanisme de contrôle de la cohérence visé à l'article 63, lorsque ces listes comprennent des activités de traitement liées à l'offre de biens ou de services à des personnes concernées ou au suivi de leur comportement dans plusieurs États membres, ou peuvent affecter sensiblement la libre circulation des données à caractère personnel au sein de l'Union.

7. L'analyse contient au moins:

a) une description systématique des opérations de traitement envisagées et des finalités du traitement, y compris, le cas échéant, l'intérêt légitime poursuivi par le responsable du traitement;

b) une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités;

c) une évaluation des risques pour les droits et libertés des personnes concernées conformément au paragraphe 1; et

d) les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du présent règlement, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes affectées

8. Le respect, par les responsables du traitement ou sous-traitants concernés, de codes de conduite approuvés visés à l'article 40 est dûment pris en compte lors de l'évaluation de l'impact des opérations de traitement effectuées par lesdits responsables du traitement ou sous-traitants, en particulier aux fins d'une analyse d'impact relative à la protection des données.

9. Le cas échéant, le responsable du traitement demande l'avis des personnes concernées ou de leurs représentants au sujet du traitement prévu, sans préjudice de la protection des intérêts généraux ou commerciaux ou de la sécurité des opérations de traitement.

10. Lorsque le traitement effectué en application de l'article 6, paragraphe 1, point c) ou e), a une base juridique dans le droit de l'Union ou dans le droit de l'État membre auquel le responsable du traitement est soumis, que ce droit règlemente l'opération de traitement spécifique ou l'ensemble des opérations de traitement en question et qu'une analyse d'impact relative à la protection des données a déjà été effectuée dans le cadre d'une analyse d'impact générale réalisée dans le cadre de l'adoption de la base juridique en question, les paragraphes 1 à 7 ne s'appliquent pas, à moins que les États membres n'estiment qu'il est nécessaire d'effectuer une telle analyse avant les activités de traitement.

11. Si nécessaire, le responsable du traitement procède à un examen afin d'évaluer si le traitement est effectué conformément à l'analyse d'impact relative à la protection des données, au moins quand il se produit une modification du risque présenté par les opérations de traitement.
Proposition 1 close

1. Lorsque les traitements présentent des risques particuliers au regard des droits et libertés des personnes concernées du fait de leur nature, de leur portée ou de leurs finalités, le responsable du traitement ou le sous-traitant agissant pour le compte du responsable du traitement effectuent une analyse de l'impact des traitements envisagés sur la protection des données à caractère personnel.

2. Les traitements présentant les risques particuliers visés au paragraphe 1 sont notamment les suivants:

a) l'évaluation systématique et à grande échelle des aspects personnels propres à une personne physique ou visant à analyser ou à prévoir, en particulier, la situation économique de ladite personne physique, sa localisation, son état de santé, ses préférences personnelles, sa fiabilité ou son comportement, qui est fondée sur un traitement automatisé et sur la base de laquelle sont prises des mesures produisant des effets juridiques concernant ou affectant de manière significative ladite personne;

b) le traitement d'informations relatives à la vie sexuelle, à la santé, à l'origine raciale et ethnique ou destinées à la fourniture de soins de santé, à des recherches épidémiologiques ou à des études relatives à des maladies mentales ou infectieuses, lorsque les données sont traitées aux fins de l'adoption de mesures ou de décisions à grande échelle visant des personnes précises;

c) la surveillance de zones accessibles au public, en particulier lorsque des dispositifs opto-électroniques (vidéosurveillance) sont utilisés à grande échelle;

d) le traitement de données à caractère personnel dans des fichiers informatisés de grande ampleur concernant des enfants, ou le traitement de données génétiques ou biométriques;

e) les autres traitements pour lesquels la consultation de l'autorité de contrôle est requise en application à l'article 34, paragraphe 2, point b).

3. L'analyse contient au moins une description générale des traitements envisagés, une évaluation des risques pour les droits et libertés des personnes concernées, les mesures envisagées pour faire face aux risques, les garanties, mesures de sécurité et mécanismes visant à assurer la protection des données à caractère personnel et à apporter la preuve de la conformité avec le présent règlement, en tenant compte des droits et intérêts légitimes des personnes concernées par les données et des autres personnes touchées. 4. Le responsable du traitement demande l'avis des personnes concernées ou de leurs représentants au sujet du traitement prévu, sans préjudice de la protection des intérêts généraux ou commerciaux ni de la sécurité des traitements.

5. Lorsque le responsable du traitement est une autorité ou un organisme publics, et lorsque le traitement est effectué en exécution d'une obligation légale conforme à l'article 6, paragraphe 1, point c), prévoyant des règles et des procédures relatives aux traitements et réglementées par le droit de l'Union, les paragraphes 1 à 4 ne s'appliquent pas, sauf si les États membres estiment qu'une telle analyse est nécessaire avant le traitement.

6. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et conditions applicables aux traitements susceptibles de présenter les risques particuliers visés aux paragraphes 1 et 2, ainsi que les exigences applicables à l’analyse prévue au paragraphe 3, y compris les conditions de modularité, de vérification et d'auditabilité. Ce faisant, la Commission envisage des mesures spécifiques pour les micro, petites et moyennes entreprises.

7. La Commission peut définir des normes et procédures pour la réalisation, la vérification et l’audit de l'analyse visée au paragraphe 3. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2.
Proposition 2 close

1. Lorsqu'un type de traitement, en particulier par le recours aux nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d'exposer les personnes physiques à un risque élevé au regard de leurs droits et libertés, par exemple une discrimination, un vol ou une usurpation d'identité, une perte financière, une atteinte à la réputation, un renversement non autorisé de la pseudonymisation, une perte de confidentialité de données protégées par le secret professionnel ou tout autre dommage économique ou social important, le responsable du traitement (…) effectue avant le traitement une analyse de l'impact des traitements envisagés sur la protection des données à caractère personnel. (…)

1 bis. Lorsqu'il effectue une analyse d'impact relative à la protection des données, le responsable du traitement demande conseil au délégué à la protection des données, si un tel délégué a été désigné.

2. L'analyse d'impact relative à la protection des données visée au paragraphe 1 est en particulier requise dans les cas suivants:

a) l'évaluation systématique et à grande échelle (…) des aspects personnels propres à (…) des personnes physiques (…), qui est fondée sur le profilage et sur la base de laquelle sont prises des décisions produisant des effets juridiques concernant des personnes concernées ou affectant gravement lesdites personnes;

b) le traitement des catégories particulières de données à caractère personnel visées à l'article 9, paragraphe 1 (...), de données biométriques ou de données se rapportant à des condamnations ou des infractions pénales, ou encore à des mesures de sûreté connexes, lorsque les données sont traitées aux fins de l'adoption de (…) décisions à grande échelle visant certaines personnes;

c) la surveillance à grande échelle de zones accessibles au public, en particulier lorsque des dispositifs opto-électroniques (…) sont utilisés;

d) (…);

e) (…).

2 bis. L'autorité de contrôle établit et publie une liste des types de traitements soumis à l'obligation d'une analyse d'impact relative à la protection des données conformément au paragraphe 1. L'autorité de contrôle communique cette liste au comité européen de la protection des données.

2 ter. L'autorité de contrôle peut aussi établir et publier une liste des types de traitements pour lesquels aucune analyse d'impact relative à la protection des données n'est requise. L'autorité de contrôle communique cette liste au comité européen de la protection des données.

2 quater. Avant d'adopter les listes visées respectivement aux paragraphes 2 bis et 2 ter, l'autorité de contrôle compétente applique le mécanisme de contrôle de la cohérence prévu à l'article 57, lorsque ces listes comprennent des traitements liés à l'offre de biens ou de services à des personnes concernées ou à l'observation de leur comportement dans plusieurs États membres, ou susceptibles d'affecter sensiblement la libre circulation des données à caractère personnel au sein de l'Union.

3. L'analyse contient au moins une description générale des traitements envisagés, une évaluation du risque visé au paragraphe 1, les mesures envisagées pour faire face au risque y compris les garanties, mesures de sécurité et mécanismes visant à assurer la protection des données à caractère personnel et à apporter la preuve de la conformité avec le présent règlement, en tenant compte des droits et des intérêts légitimes des personnes concernées et des autres personnes touchées

3 bis. Le respect, par les responsables du traitement ou sous-traitants compétents, des codes de conduite approuvés visés à l'article 38 est dûment pris en compte lors de l'évaluation de la légalité et de l'impact des opérations de traitement effectuées par lesdits responsables ou sous-traitants, en particulier aux fins d'une analyse d'impact relative à la protection des données.

4. Le responsable du traitement demande l'avis des personnes concernées ou de leurs représentants au sujet du traitement prévu, sans préjudice de la protection des intérêts généraux ou commerciaux ni de la sécurité des traitements (...).

5. (...) Lorsque le traitement visé à l'article 6, paragraphe 1, point c) ou e), a une base juridique dans le droit de l'Union ou dans la législation de l'État membre à laquelle le responsable du traitement est soumis, et que cette législation régit l'opération ou l'ensemble des opérations de traitement en question, les paragraphes 1 à 3 ne s'appliquent pas, sauf si les États membres estiment qu'une telle analyse est nécessaire avant le traitement.

 6. (…)
Directive close

Aucune disposition correspondante
France
compare_arrows
visibility Ancienne loi

Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Art. 62

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

Le responsable du traitement effectue préalablement à la mise en œuvre du traitement une analyse d'impact des opérations de traitement envisagées sur la protection des données à caractère personnel dans les conditions prévues à l'article 35 du règlement (UE) 2016/679 du 27 avril 2016.
Ancienne loi close

Aucune disposition correspondante
arrow_back Article précédentArticle 35 Article suivant arrow_forward
close

2016 - www.itiplaw.eu.