Dans son article 35, le RGPD contraint les entreprises à mener des « analyses d’impact relatives à la protection des données » (AIPD), dès lors qu’un traitement peut engendrer « un risque élevé pour les droits et libertés des personnes physiques ». La CNIL a récemment publié la liste des analyses obligatoires à mener dans le domaine des ressources humaines.
RGPD : qu’est-ce qu’une AIPD, quand et comment la mener ?
Une AIPD ou PIA (Privacy Impact Assessment) est un processus visant à évaluer les risques inhérents à un traitement des données personnelles, puis à définir les mesures à mettre en place pour y faire face. L’AIPD doit être effectuée en amont de la mise en place du traitement des données, particulièrement si celui-ci constitue une menace pour les droits et libertés des personnes physiques.
Quand peut-on parler de risque pour la vie privée ?
Le risque pour la vie privé visé par le RGPD peut être caractérisé par une atteinte à la confidentialité, à la disponibilité ou à l’intégrité des données, ainsi que par ses conséquences « vraisemblables » sur les droits et libertés des personnes concernées.
Quand mener une AIPD ?
Le RGPD octroie à des autorités de contrôle, en l’occurrence la CNIL pour la France, la possibilité de lister des opérations exigeant la mise en œuvre d’une AIPD.
En l’absence de liste, il conviendra de se référer aux lignes directrices formulées par le G29, l’ancien comité regroupant les différentes autorités de contrôle européennes, et dont l’objectif est de garantir une application cohérente du RGPD.
En l’occurrence, une AIPD devra être menée si le traitement remplit au moins deux des neuf critères édictés par le G29, parmi lesquels : le traitement de données relatif aux personnes vulnérables (enfants, salariés..) ; la collecte de données sensibles (origine raciale ou ethnique, opinions politiques, données de santé…) ou leur caractère hautement personnel (données de localisation, données financières), la collecte de données à grande échelle, le « scoring » ou profilage des données, ou encore l’exclusion d’un droit.
La réalisation d’une AIPD s’applique à tout nouveau traitement présentant un risque élevé mis en œuvre après le 25 mai 2018 et pour les traitements antérieurs n’ayant pas fait l’objet de formalités préalables auprès de la CNIL.
Que doit contenir l’AIPD ?
La CNIL met à disposition des sociétés des catalogues de bonnes pratiques et des études de cas, afin de les aider à mener les AIPD.
En résumé, les AIPD devront s’organiser selon le schéma suivant :
1/ Décrire des opérations de traitement et de leurs finalités
2/ Evaluer la nécessité des traitements
3/ Evaluer les risques pour les personnes concernées
4/ Décrire les mesures envisagées pour faire face aux risques
AIPD et traitements des données RH
Identifier les traitements RH déjà réalisés
Avant toute chose, la société devra s’assurer que les traitements RH déjà réalisés et leurs formalités correspondantes avaient été correctement effectuées, et qu’ils n’ont pas évolué significativement depuis l’entrée en vigueur du RGPD.
Parmi les traitements de données à caractère personnel liés à la vie du salarié, on peut citer notamment :
> Le recrutement et le recours au travail temporaire
> La gestion du personnel : paie, prévoyance, temps de travail, gestion des carrières, utilisation des outils informatiques ou des véhicules de société…
> Le contrôle d’accès aux locaux
> Les contrôles qualité (enregistrement des salariés)
> L’élection des instances représentatives du personnel
> Les alertes professionnelles
Les traitements RH nécessitant une AIPD
La CNIL considère que le salarié est une personne vulnérable. Elle cible 3 grands types de traitement :
> L’évaluation ou la notation de personnes physiques à des fins de recrutement, de propositions de plans de formations personnalisés ou d’anticipation des départs. Sont particulièrement concernés les méthodes dites de « people review » ou le recours aux tests de personnalité.
> La surveillance systématique de l’activité des salariés, tels quels l’analyse des emails sortants, la vidéosurveillance ou le recours à des chronotachygraphes dans le domaine du transport routier.
Le DSI de la société sera pleinement impliqué dans l’évaluation de ces dispositifs, au regard notamment de la charte informatique en vigueur.
> La gestion des alertes et signalements en matière professionnelle, intégrant les alertes loi Sapin 2, les faits de trafic d’influence ou de corruption, ainsi que les dispositifs entrant dans le cadre du devoir de vigilance. Les entreprises devront réaliser des AIPD dès qu’elles déploient ces dispositifs.
Les AIPD constituent pour les entreprises le moyen de démontrer l’existence des mesures mises en œuvre pour assurer leur conformité au RGPD. Elles doivent devenir le socle de leur plan d’actions de mise en conformité. L’absence de réalisation d’une AIPD, ou sa mauvaise réalisation, est passible d’une lourde amende administrative, pouvant aller jusqu’à 2% du chiffre d’affaires annuel de la société.
Labellisé CNIL pour ses prestations d’audit de traitements et de formation, le cabinet BRM Avocats, membre de TGS France, vous accompagne dans la protection de vos données personnelles et votre processus de mise en conformité au RGPD.
Consultez la version complète de cet article sur le site du magazine Face aux Risques
Voir plus de commentaires