Mémo - L'analyse d'impact relative à la protection des données pour les RH

 La Cnil avait fixé une liste, publiée au Journal officiel du 22 octobre 2019, de traitements de données personnelles, notamment RH, pour lesquels une AIPD n'est pas obligatoire. Retour sur les traitements de données personnelles effectués par les services RH pour lesquels une AIPD est requise ou non.

Pour rappel, le RGPD est un règlement européen qui vient renforcer les dispositions en matière de protection des données personnelles et créer des obligations nouvelles pour les entreprises et in fine pour les professionnels RH. Applicable depuis le 25 mai 2018, ce texte a été transposé en droit français par l'ordonnance n°2018-1125 du 12 décembre 2018. La Cnil assure un rôle de veille, de contrôle et de régulation en la matière.

> Pour en savoir plus sur le RGPD, cliquez ici.

L'AIPD : qu'est-ce que c'est ?

Dès lors qu'un traitement de données personnelles est considéré comme "susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées", une analyse d'impact à la protection des données doit être effectuée. Aussi appellée, AIPD (Data Protection Impact Assessment) ou PIA (Privacy Impact Assessment, plus courant), l'objectif de cette étape est de déterminer les risques et les actions mises en place pour y pallier. 

C'est le responsable de traitement, et donc l'employeur, qui est tenu par l’obligation de s’assurer de la conformité de son traitement au RGPD. Si un délégué à la protection des données (DPO), ce dernier a la charge de vérifier l’exécution de l'AIPD. A noter que la Cnil a mis à disposition un logiciel open source "Outil PIA" afin de faciliter la conduite et la formalisation de l'AIPD.

Une nouvelle version de l'Outil PIA vient d'être mis en ligne par la Cnil. Pour en savoir plus, cliquez ici.

L'AIPD se découpe en 3 parties :

1. une description détaillée du traitement comprenant tant les aspects techniques qu'opérationnels
    
2. L'évaluation de la nature plus juridique, de la nécessité et de la proportionnalité du traitement 
    
3. L'étude des risques sur la sécurité des données ainsi que leurs impacts potentiels sur la vie privée.

L'AIPD ne fait pas l'objet d'une publication et doit, dans certains cas être transmise à la CNIL. C'est notamment le cas lorsque le niveau de risque résiduel reste élevé ou quand la législation nationale l’exige. 

En cas de manquement à cette obligation, le montant des amendes peut s'élever jusqu'à 10 000 000 euros ou, dans le cas d'une entreprise, jusqu'à 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. 

> Pour en savoir plus sur l'AIPD sur le site de la CNIL

Pour savoir si une AIDP est obligatoire, il faut vérifier si le traitement figure sur la liste fixée par la Cnil ou s'il ne remplit au moins 2 des 9 critères suivants :

• évaluation/scoring (y compris le profilage)
• décision automatique avec effet légal ou similaire
• surveillance systématique
• collecte de données sensibles ou données à caractère hautement personnel
• collecte de données personnelles à large échelle
• croisement de données
• personnes vulnérables (patients, personnes âgées, enfants, etc.)
• usage innovant (utilisation d’une nouvelle technologie)
• exclusion du bénéfice d’un droit/contrat.

La Cnil a publié deux listes qui, si elles ne sont pas exhaustives, permettent d'identifier ou de mieux cerner les traitements RH pour lesquels une AIPD pourrait être requise.

• Une liste des traitements notamment RH pour lesquelles une AIPD est obligatoire (en novembre 2018) ;
• Une liste des traitements notamment RH exemptés d'AIPD (en octobre 2019).

Pour aller plus loin

• RGPD : fiches pratiques et ressources pour les RH