Qu'est-ce qu'une DPIA ?

Une évaluation d’impact relative à la protection des données (AIPD) est un processus documenté qui vous aide à trouver et à atténuer les risques associés aux données personnelles. 

Lorsque vous effectuez une analyse d'impact sur la protection des données, vous devez :

• Décomposez comment et pourquoi vous avez l’intention de traiter les données personnelles et identifiez les types de données concernées .
• Déterminez les risques pour la vie privée et les autres droits des personnes .
• Trouver de meilleures façons de faire les choses qui réduisent ou éliminent les risques liés à la protection des données .

Une bonne analyse d’impact sur la protection des données vous aidera à prévoir et à gérer les risques, à améliorer l’efficacité en réduisant la collecte de données inutiles et à montrer aux clients et aux régulateurs que vous prenez la protection des données au sérieux.

Une DPIA est un outil très utile pour quiconque envisage un nouveau produit ou projet impliquant des données personnelles .

Vous avez peut-être déjà entendu des gens utiliser des termes tels que « évaluation de l’impact sur la vie privée (PIA) » et « évaluation de la protection des données (DPA) » pour décrire ce processus. Cependant, le terme « DPIA » provient du RGPD lui-même, qui fournit un ensemble de règles sur le moment et la manière de mener à bien ce processus.

Le RGPD exige une analyse d'impact sur la protection des données avant d'utiliser des données personnelles de certaines manières risquées. Chaque autorité de protection des données (APD) au Royaume-Uni, dans l'UE et dans l'Espace économique européen (EEE) fournit également une liste d'activités pour lesquelles une analyse d'impact sur la protection des données est requise.

Éléments clés d'une évaluation d'impact relative à la protection des données

Il existe de nombreuses façons de réaliser une analyse d'impact sur la protection des données, à condition de prendre certaines mesures pour garantir le traitement sécurisé des données personnelles. « Traitement de données personnelles » signifie utiliser des informations permettant d'identifier des personnes (« personnes concernées »).

Conformément à l'article 35 du RGPD, une AIPD doit inclure :

• Une description systématique de : un texte
  • Les opérations de traitement (ce que vous prévoyez de faire avec les données personnelles).
  • Les finalités du traitement ( pourquoi vous avez l’intention de collecter ou d’utiliser des données personnelles).
  • Le cas échéant, l’ intérêt légitime que vous poursuivez (comment le projet sert les intérêts de votre organisation et d’autres personnes).
• Une évaluation de la nécessité et de la proportionnalité (si vous devez traiter des données personnelles pour atteindre votre objectif et si vous traitez la bonne quantité de données personnelles de manière appropriée).
• Une évaluation des risques pour les droits et libertés des personnes (atteinte potentielle à la vie privée et aux autres droits des personnes)
• Mesures visant à faire face aux risques, y compris : du texte
  • Garanties
  • Mesures de sécurité 
  • Mécanismes pour assurer la protection des données et démontrer la conformité au RGPD

Dans certains cas, vous devrez peut-être consulter les personnes concernées par votre projet ou votre autorité locale de protection des données (APD) .

Nous allons décomposer tout cela en un processus étape par étape ci-dessous.

Exemple : Opérations et finalités de traitement de Snap

L’année dernière, Snap a lancé My AI, une version de ChatGPT dans Snapchat. 

Le bureau du commissaire à l'information du Royaume-Uni (ICO ) a allégué que Snap n'avait pas effectué une analyse d'impact appropriée pour My AI et a émis une sanction préliminaire du RGPD contre la société. 

Après que Snap a produit cinq versions successives de son DPIA , l'ICO a abandonné l'affaire. 

L'ICO a publié un avis de décision détaillant la manière dont le DPIA de Snap s'est amélioré au fil du temps, nous connaissons donc le point de vue du régulateur sur la manière de mener à bien ce processus .

D'une part, l'ICO a déclaré que les premières versions de l'AIPD de Snap ne fournissaient pas une « description systématique » suffisamment détaillée des « opérations de traitement » et des finalités . Cela est lié au premier point décrit dans la section ci-dessus.

Mais dans la version cinq, cette partie de l'AIPD de Snap répondait aux exigences du RGPD, pour les raisons suivantes :

• Snap a décrit systématiquement comment il utilisait la technologie ChatGPT d'OpenAI pour générer les sorties de My AI.
• Snap a accordé une plus grande attention au contexte plus large de son produit, y compris aux préoccupations du public concernant l’IA générative.
• Snap a fourni des statistiques sur les utilisateurs de Snapchat et de My AI pour aider à identifier les risques, en particulier ceux impliquant les enfants.
• Snap a donné une description détaillée répartition de ses objectifs pour le traitement des données personnelles via My AI, qui comprenait : du texte
  • Offrir une expérience personnalisée,
  • Améliorer le service,
  • Diffusion d'annonces contextuelles,
  • Fournir une fonctionnalité axée sur la sécurité et la sûreté.

Au cours de ses cinq analyses d'impact sur la protection des données, Snap a évalué son produit plus en détail et a déterminé l'impact que My AI pourrait avoir sur les utilisateurs de Snapchat. Une vision plus globale a aidé Snap à : 

• Identifier les risques jusque-là invisibles
• Mettre en œuvre des mesures de protection appropriées
• Échapper à une amende RGPD

Quand une analyse d’impact sur la protection des données est-elle requise en vertu du RGPD ?

La réalisation d’une AIPD est obligatoire dans certaines circonstances . 

Dans le cadre d'une enquête menée en vertu du RGPD, les autorités de régulation peuvent exiger de voir une copie de votre AIPD. Il est donc particulièrement important que vous procédiez à une AIPD lorsque cela est nécessaire.

Voici les quatre principales sources qui nous indiquent quand une AIPD est obligatoire.

1. Le seuil de « risque probablement élevé » du RGPD

Parfois, vous devez décider vous-même si une AIPD est nécessaire . 

Conformément à l'article 35 (1), vous devez effectuer une AIPD s'il est probable que votre utilisation des données personnelles entraînera un risque élevé pour les « droits et libertés » des personnes, y compris les droits à : 

• Confidentialité
• Protection des données
• D’autres droits, comme la liberté d’expression et le droit au travail

Pour décider si vous devez effectuer une analyse d’impact sur la protection des données, vous devez tenir compte de la « nature, de la portée, du contexte et des finalités » de vos activités prévues. En d’autres termes : 

• Qu'est-ce que tu fais
• Quelle quantité de données personnelles est concernée
• Quels types de personnes pourraient être affectées
• Pourquoi tu le fais

Vous aurez probablement plus besoin de procéder à une analyse d’impact sur la protection des données si vous utilisez de nouvelles technologies.

2. Les activités spécifiques à haut risque du RGPD

En plus de ce seuil de « risque probablement élevé », l’article 35 (3) du RGPD stipule que vous devez effectuer une analyse d’impact sur la protection des données si vous :

• Ils se livrent à un « profilage systématique et approfondi » aux effets significatifs. Il peut s’agir d’activités telles que la notation de crédit, la surveillance ou certaines formes de publicité comportementale.
• Traitement de grandes quantités de « données de catégories spéciales » (y compris des informations sur l’origine ethnique, la santé ou les opinions politiques des personnes) ou de données sur des infractions pénales .
• Surveillance systématique et à grande scale d'une zone accessible au public , par exemple au moyen de la télévision en circuit fermé.

3. Orientations du Comité européen de la protection des données (CEPD)

Le Comité européen de la protection des données (CEPD) a adopté des orientations qui indiquent quand une analyse d'impact sur la protection des données est susceptible d'être requise, notamment dans les cas suivants (entre autres) :

• Évaluation et notation . Il s’agit d’utiliser la technologie pour faire des prédictions sur les personnes, notamment sur leur performance au travail, leur situation économique, leur santé, leurs intérêts personnels, leur fiabilité, leur comportement, leur localisation ou leurs déplacements.
• Associer ou combiner des ensembles de données : par exemple, utiliser deux ensembles de données – provenant de deux activités différentes ou de deux organisations différentes – d’une manière à laquelle les gens ne s’attendent pas.
• Empêcher l’accès aux services : Par exemple, lorsqu’une banque utilise des données de référence de crédit pour décider d’offrir ou non un prêt à un client.

Plusieurs autres scénarios sont répertoriés dans le guide, alors lisez-le si vous n'êtes pas sûr de devoir effectuer une DPIA.

4. Listes des activités à haut risque établies par les régulateurs

Enfin, chaque autorité de protection des données (APD) publie une liste des activités nécessitant une AIPD dans sa juridiction. 

Par exemple, voici quelques-unes des activités qui nécessitent une DPIA selon la Commission irlandaise de protection des données (DPC) :

• L'utilisation à scale échelle de données à caractère personnel pour des raisons autres que celles pour lesquelles elles ont été collectées à l'origine.
• « Surveiller, suivre ou observer systématiquement la localisation ou le comportement des individus. »
• Obtenir des données personnelles auprès de sources tierces (à moins que vous ne soyez en mesure de répondre aux exigences de transparence du RGPD ce faisant).

Guide étape par étape pour réaliser une analyse d'impact sur la protection des données

Comme indiqué précédemment, il n'existe pas de « méthode unique » pour mener une analyse d'impact sur la protection des données. Voici néanmoins un aperçu de ce que vous devez inclure, avec quelques conseils sur la manière de réaliser chaque étape.

Étape 1 : Motif de l’AIPD

Tout d’abord, vous devez indiquer pourquoi vous effectuez une AIPD , probablement pour l’une des raisons suivantes :

• Article 35 (1) : Votre projet est « hautement susceptible » de présenter un « risque élevé » pour les droits et libertés des personnes
• Article 35 (3) (a) : Profilage systématique et approfondi
• Article 35 (3) (b) : Données de catégorie spéciale ou données relatives à une infraction pénale
• Article 35 (3) (c) : Surveillance d'un lieu public
• Votre projet nécessite une DPIA conformément aux directives du CEPD
• Votre projet implique une activité à haut risque telle que désignée par votre autorité de protection des données
• Aucune des réponses ci-dessus

Voir « Quand une analyse d’impact sur la protection des données est-elle requise en vertu du RGPD ? » ci-dessus pour plus de détails sur ces conditions.

Étape 2 : Description du traitement

L’étape 2 de l’AIPD consiste à expliquer ce que vous comptez faire des données personnelles . 

Le RGPD vous oblige à prendre en compte la nature, la portée, le contexte et les finalités du traitement. Au-delà, c'est à vous de décider du niveau de détail que vous souhaitez inclure. 

La plupart des analyses d’impact sur la protection des données abordent les points suivants :

N'oubliez pas que c'est à vous de décider comment structurer votre DPIA, à condition de respecter les exigences du RGPD.

Étape 3 : Demander l’avis des individus

Le RGPD stipule que vous devez « demander l’avis des personnes concernées » lorsque cela est approprié. De nombreuses organisations ignorent cette étape, mais elle peut être un bon moyen d’identifier les risques. 

Vous pouvez également consulter des experts en la matière , des sous-traitants qui traitent des données en votre nom ou d’autres équipes au sein de votre organisation.

Si vous envisagez de suivre cette étape facultative, vous devez documenter :

• Qui prévoyez-vous consulter
• Ce que vous prévoyez de leur demander
• (Après la consultation) Ce qu'ils ont dit et si cela a un impact sur votre projet

Si vous n’envisagez pas de suivre cette étape facultative, vous devez expliquer pourquoi vous ne la jugez pas appropriée.

Étape 4 : Évaluer la nécessité et la proportionnalité

Le RGPD stipule que votre AIPD doit inclure « une évaluation de la nécessité et de la proportionnalité de l’opération de traitement par rapport aux finalités ».

Cette étape est votre opportunité d’explorer les questions suivantes :

• Pourquoi avez-vous besoin de traiter des données personnelles pour atteindre vos objectifs ?
• Quelle est votre base légale en vertu de l’article 6 du RGPD ?
• Si vous traitez des données de catégories spéciales, quelle condition de l'article 9 du RGPD s'applique ?
• Pourrais-tu atteindre des résultats identiques ou similaires:du texte
  • Avec moins de données ?
  • Avec des données sur moins d’individus ?
  • Avec des données de nature moins sensible ?
• Comment pouvez-vous garantir que les données ne sont utilisées que pour l’usage auquel elles sont destinées ?
• Serez-vous en mesure de fournir aux personnes concernées les informations de transparence pertinentes en vertu des articles 13 ou 14 du RGPD ? Si oui, comment ? Si non, avez-vous une raison valable ?
• Quels mécanismes avez-vous mis en place pour garantir que les personnes puissent exercer leurs droits en tant que personnes concernées ?

Étape 5 : Identifier les risques

Il est maintenant temps de se demander : qu’est-ce qui pourrait mal se passer ?

Tenez compte des risques pour les « droits et libertés » des personnes — pas seulement pour la vie privée et la protection des données, mais, le cas échéant, pour la liberté d’expression, l’accès aux services essentiels et d’autres droits.

Vous pouvez évaluer les risques en termes de : 

• Probabilité (probabilité que le risque se produise)
• Gravité (la gravité des dommages si le risque se produisait)
• Risque global (basé sur une moyenne de probabilité et de gravité)

Certaines organisations représentent ces facteurs sur une matrice et en déduisent un score de risque initial. Cette matrice pourrait ressembler à ceci :

Une matrice comme celle-ci peut vous aider à obtenir une évaluation initiale du risque, qui pourrait changer à l’étape 6 une fois que vous avez appliqué des mesures d’atténuation.

Étude de cas : Snap

La décision Snap de l'ICO révèle comment l'entreprise a identifié les risques associés à son chatbot My AI.

Dans les quatre premières versions de son DPIA, Snap n'aurait pas abordé les risques liés au traitement de données de catégories spéciales . 

Dans la cinquième version de son DPIA, Snap a déclaré que le traitement de telles données était « hautement probable » car elle ne pouvait finalement pas contrôler si les utilisateurs fournissaient au chatbot des informations sur leur santé, leurs croyances philosophiques, leur origine ethnique, etc.

Au-delà de demander aux utilisateurs de ne pas partager ce type de contenu avec My AI, Snap n’a pas pu faire grand-chose pour atténuer ce risque. Mais le fait même que Snap ait évalué le risque était suffisant pour l’ICO. Cette évaluation a été l’une des raisons pour lesquelles le régulateur a décidé de ne pas infliger d’amende au titre du RGPD.

Cet exemple montre les avantages d’une évaluation des risques complète et de grande envergure dans le cadre de votre AIPD.

Étape 6 : Atténuer les risques

Maintenant que vous avez identifié les problèmes potentiels, il est temps de réfléchir aux solutions.

Pour chaque risque identifié à l'étape 4, déterminez si vous pouvez l'atténuer ou l'éliminer . Les contrôles appropriés peuvent inclure :

• Contrôles d'accès
• Cryptage
• Minimisation des données
• Formation du personnel
• Dispositions contractuelles
• Désactiver la publicité ciblée
• Anonymisation ou pseudonymisation 

Notez que certaines de ces mesures d’atténuation vont au-delà de la sécurité des données , qui, après tout, n’est qu’une des nombreuses considérations relatives à la protection des données.

Une fois que vous avez appliqué des mesures d'atténuation à un risque, vous pouvez réévaluer sa probabilité et sa gravité . Ce processus peut faire passer un risque « élevé » à un risque « moyen » ou « faible », et ainsi de suite.

Étape 7 : Consultation préalable

À présent, vous aurez identifié les risques associés à votre projet et appliqué des mesures d'atténuation. Avec un peu de chance, vous obtiendrez un ensemble de risques de niveau faible à moyen qui sont acceptables dans l'ensemble.

Si vous présentez encore des risques que vous considérez comme « élevés » à la fin de votre AIPD, vous devrez contacter votre autorité de protection des données (APD) pour obtenir des conseils.

L'article 36 (3) du RGPD énumère les informations que vous devez fournir à votre APD :

• Une liste des responsables du traitement, des responsables conjoints du traitement et des sous-traitants impliqués dans votre projet, avec leurs responsabilités respectives (le cas échéant)
• Les finalités (raisons) et les moyens (modalités) du traitement
• Les mesures et garanties visant à protéger les droits et libertés des personnes
• Coordonnées de votre délégué à la protection des données (DPD) (si vous en avez un)
• Une copie de votre DPIA
• Toute autre information demandée par la DPA

Si l'APD estime que votre projet risque de violer le RGPD, elle vous proposera des conseils écrits dans un délai de huit semaines (avec une prolongation possible de six semaines).

Étude de cas : entreprise de transport autrichienne

En Autriche , une entreprise de transport a mené une analyse d'impact sur la protection des données concernant son projet d'enregistrement du trafic sur un pont. Au terme de ce processus, l'entreprise a constaté qu'elle ne pouvait pas atténuer certains risques liés à la communication d'informations transparentes aux conducteurs. 

L'entreprise a contacté l'autorité autrichienne de protection des données en vertu des règles de « consultation préalable » du RGPD. Mais l'autorité a déclaré que l'entreprise avait pris des mesures suffisantes pour atténuer les risques pertinents et a donné le « feu vert » au projet.

Il est parfois préférable de consulter un DPA si vous n'êtes pas sûr que votre projet doit être mené à bien. Il peut vous fournir des conseils utiles sur la manière de mieux atténuer les risques liés à la protection des données et peut vous rassurer sur le fait que vous êtes sur la bonne voie.

Outils et modèles pour la réalisation d'analyses d'impact sur la protection des données

Outre les ressources auxquelles nous avons fait référence tout au long de cet article, voici quelques modèles pour vous aider à mener votre DPIA :

• Exemple de modèle d'analyse d'impact sur la protection des données de l'ICO britannique
• Modèles d'analyses d'impact sur la protection des données de Google pour Google Cloud et Google Workspace
• La boîte à outils de nécessité du Contrôleur européen de la protection des données (CEPD) (utile pour l'étape 4 ci-dessus)

Principaux points à retenir et conclusion

Dans cet article, nous avons abordé les points clés suivants concernant les analyses d’impact sur la protection des données (AIPD) :

• Les analyses d’impact sur la protection des données aident à identifier et à atténuer les risques pour les données personnelles, en garantissant la conformité avec le RGPD et en améliorant la protection de la vie privée.
• Les DPIA sont obligatoires pour les activités de traitement de données à haut risque, telles que le profilage à grande scale , l'utilisation de catégories spéciales de données ou la surveillance systématique de zones publiques.
• Les étapes clés comprennent la description des activités de traitement, l’évaluation de la nécessité, l’identification et l’atténuation des risques et la consultation des parties prenantes ou des autorités réglementaires si nécessaire.
• Les analyses d’impact sur la protection des données améliorent la gestion des risques, rationalisent les pratiques en matière de données et démontrent la responsabilité envers les clients et les régulateurs.
• ‍
• Les données personnelles peuvent prendre de nombreuses formes, des noms aux adresses IP et aux données des appareils.
• Les personnes concernées ont des droits en vertu du RGPD, et il est de votre responsabilité de les respecter.

Les analyses d'impact sur la protection des données sont essentielles pour maintenir la confiance et la conformité réglementaire. Pour découvrir comment Privasee peut rationaliser vos processus d'analyse d'impact sur la protection des données, réservez une démonstration dès aujourd'hui. 

‍

AIPD – FAQ

Que dois-je faire si je prévois d’utiliser l’IA dans mon produit ou mon organisation ?

Si vous développez un produit qui utilise l'IA (ou si vous implémentez un produit d'IA dans votre organisation), vous devrez probablement effectuer une analyse d'impact sur la protection des données (DPIA).

Parmi les autres régulateurs, l'ICO du Royaume-Uni déclare :

« Dans la grande majorité des cas , le recours à l'IA impliquera un type de traitement susceptible d'engendrer un risque élevé pour les droits et libertés des personnes, et déclenchera donc l'obligation légale pour vous de procéder à une DPIA . »

La réalisation d’une analyse d’impact sur la protection des données (DPIA) contribuera à garantir que vous utilisez ou développez l’IA de manière sûre et responsable.

Quelles sont les sanctions en cas de non-réalisation d’une AIPD ?

L’absence d’analyse d’impact sur la protection des données (AIPD) ou l’absence de consultation de votre autorité de protection des données (APD) si nécessaire peut entraîner une amende pouvant aller jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial (le montant le plus élevé étant retenu).

Une analyse d’impact sur la protection des données peut-elle être réalisée de manière rétrospective ?

Non, une analyse d’impact sur la protection des données doit être réalisée « avant le traitement », c’est-à-dire avant le début de votre projet.

Qui devrait être impliqué dans la réalisation d’une AIPD ?

Lorsque vous effectuez votre analyse d’impact sur la protection des données, vous devez parler à toutes les personnes impliquées dans votre projet et, idéalement, aux personnes concernées par celui-ci.

• Votre délégué à la protection des données (DPD) 
• Responsables du traitement et sous-traitants
• L'équipe de cybersécurité de votre organisation
• L'équipe juridique ou de conformité de votre organisation

Vous devrez peut-être également contacter votre autorité de protection des données (APD) (voir l’étape 7 sur la « consultation préalable » ci-dessus).

À quelle fréquence une analyse d’impact sur la protection des données doit-elle être révisée ?

Il n'existe aucune règle concernant la fréquence à laquelle une analyse d'impact sur la protection des données doit être examinée. Si un changement intervient dans votre projet, vous devrez peut-être mettre à jour et réexécuter votre analyse d'impact sur la protection des données. Sinon, vous pouvez définir une période régulière pour examiner les analyses d'impact sur la protection des données de votre organisation.

Bonnes pratiques pour mener des analyses d’impact sur la protection des données efficaces

Voici cinq conseils pour tirer le meilleur parti du processus DPIA :

1. Donnez du sens à votre démarche. Une analyse d'impact sur la protection des données n'est pas un exercice consistant à cocher des cases : c'est votre chance d'éviter les risques, de protéger les droits des personnes et d'améliorer votre projet. Vous aurez plus de chances de tirer profit d'une analyse d'impact sur la protection des données si vous prenez le processus au sérieux.

2. Pensez de manière générale : même si un risque semble très peu probable, il vaut la peine de le noter. Une analyse d'impact sur la protection des données est votre chance d'anticiper le pire scénario possible afin qu'il ne devienne pas réalité.

3. Impliquez d'autres personnes : même si vous choisissez de ne pas consulter les personnes concernées (voir l'étape 3 ci-dessus), vous devez parler à toutes les personnes concernées, à l'intérieur ou à l'extérieur de votre organisation. Posez des questions et obtenez une compréhension globale du projet.

4. Impliquez votre DPD : Si votre organisation dispose d'un DPD, vous devez l'impliquer dans le processus d'AIPD. Il n'est probablement pas approprié que votre DPD effectue lui-même l'AIPD, mais vous devez lui demander conseil tout au long du processus et lui demander de relire votre version finale.
5. Révisez votre DPIA : une DPIA est un « document évolutif » : conservez-la dans vos archives et relisez-la régulièrement. Vous constaterez peut-être qu'elle est obsolète ou que certaines recommandations n'ont pas été suivies d'effet.