← Actualités

L'analyse d'impact relative à la protection des données pour les RH | Mémo ANDRH

Savez-vous que certains processus RH requièrent une AIPD ? L'AIPD est l'acronyme pour analyse d'impact à la protection des données. Si les organisations bénéficiaient d’une dispense pendant 3 ans, cette période de transition a pris fin le 25 mai 2021. La Cnil avait fixé une liste, publiée au Journal officiel du 22 octobre 2019, de traitements de données personnelles, notamment RH, pour lesquels une AIPD n'est pas obligatoire. Retour sur les traitements de données personnelles effectués par les services RH pour lesquels une AIPD est requise ou non.
Sommaire

Pour rappel, le RGPD est un règlement européen qui vient renforcer les dispositions en matière de protection des données personnelles et créer des obligations nouvelles pour les entreprises et in fine pour les professionnels RH. Applicable depuis le 25 mai 2018, ce texte a été transposé en droit français par l'ordonnance n°2018-1125 du 12 décembre 2018. La Cnil assure un rôle de veille, de contrôle et de régulation en la matière.

> Pour en savoir plus sur le RGPD, cliquez ici.

L'AIPD : qu'est-ce que c'est ?

Dès lors qu'un traitement de données personnelles est considéré comme "susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées", une analyse d'impact à la protection des données doit être effectuée. Aussi appellée, AIPD (Data Protection Impact Assessment) ou PIA (Privacy Impact Assessment, plus courant), l'objectif de cette étape est de déterminer les risques et les actions mises en place pour y pallier

C'est le responsable de traitement, et donc l'employeur, qui est tenu par l’obligation de s’assurer de la conformité de son traitement au RGPD. Si un délégué à la protection des données (DPO), ce dernier a la charge de vérifier l’exécution de l'AIPD. A noter que la Cnil a mis à disposition un logiciel open source "Outil PIA" afin de faciliter la conduite et la formalisation de l'AIPD.

Une nouvelle version de l'Outil PIA vient d'être mis en ligne par la Cnil. Pour en savoir plus, cliquez ici.

L'AIPD se découpe en 3 parties :

  • 1 : une description détaillée du traitement comprenant tant les aspects techniques qu'opérationnels
     
  • 2 : L'évaluation de la nature plus juridique, de la nécessité et de la proportionnalité du traitement 
     
  • 3 : L'étude des risques sur la sécurité des données ainsi que leurs impacts potentiels sur la vie privée.

L'AIPD ne fait pas l'objet d'une publication et doit, dans certains cas être transmise à la CNIL. C'est notamment le cas lorsque le niveau de risque résiduel reste élevé ou quand la législation nationale l’exige. En cas de manquement à cette obligation, le montant des amendes peut s'élever jusqu'à 10 000 000 euros ou, dans le cas d'une entreprise, jusqu'à 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. 

> Pour en savoir plus sur l'AIPD sur le site de la CNIL

Pour savoir si une AIDP est obligatoire, il faut vérifier si le traitement figure sur la liste fixée par la Cnil ou s'il ne remplit au moins 2 des 9 critères suivants :

  •     "évaluation/scoring (y compris le profilage)" ;
  •     "décision automatique avec effet légal ou similaire" ;
  •     "surveillance systématique" ;
  •     "collecte de données sensibles ou données à caractère hautement personnel" ;
  •     "collecte de données personnelles à large échelle" ;
  •     "croisement de données" ;
  •     "personnes vulnérables (patients, personnes âgées, enfants, etc.)" ;
  •     "usage innovant (utilisation d’une nouvelle technologie)" ;
  •     "exclusion du bénéfice d’un droit/contrat."

La Cnil a publié deux listes qui, si elles ne sont pas exhaustives, permettent d'identifier ou de mieux cerner les traitements RH pour lesquels une AIPD pourrait être requise.

Pour aller plus loin

À Télécharger
Les traitements RH pour lesquels une AIPD est obligatoire ou non
208,03 Ko
Lectures liées
RGPD & RH

Anne Doré (ADHEL & Clusif) : "Le RH a un rôle clé à jouer dans la cyber résilience"

En matière de cybersécurité, l’anticipation reste de mise. Si l’on a tendance à croire qu’une attaque cyber ne touche que les grands groupes, Anne Doré, fondatrice d’ADHEL et secrétaire du Clusif incite l’ensemble des entreprises à se prémunir d’une attaque afin de ne pas être pris au dépourvu.

Numérique

Replay - Intelligence artificielle (IA) et RH

Dans ce replay du webinar élaboré avec Cegid, explorez les contours et enjeux de l'intelligence artificielle pour la fonction RH, avec les témoignages de Nicolas Recapet, DRH du groupe Talan et André Brunetière,

Numérique

Replay - IA et recrutement : une alliance stratégique pour les RH

Découvrez dans ce replay de webinar exclusif comment l'IA va révolutionner le monde du recrutement, et le monde du travail. Comment automatiser et optimiser vos processus de recrutement, tout en assurant une meilleure adéquation entre les postes et les candidats ?