Autres branches du droit

Avec l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) le 25 mai 2018, le régime de formalité préalable a été remplacé par de nouvelles modalités de documentation de la conformité en matière de protection des données personnelles, en particulier l’obligation de réaliser une Analyse d’Impact sur la Protection des Données (AIPD) préalablement à la mise en œuvre de traitements susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées.

Qu’est-ce-que l’AIPD ?

De manière très synthétique, l’AIPD est un outil qui permet de construire un traitement conforme au RGPD et respectueux de la vie privée.

Cette AIPD se décompose en trois parties :

  • une description détaillée du traitement mis en œuvre, comprenant tant les aspects techniques qu’opérationnels ;
  • l’évaluation, de nature plus juridique, de la nécessité et de la proportionnalité concernant les principes et droits fondamentaux (finalité, données et durées de conservation, information et droits des personnes, etc.) non négociables, qui sont fixés par la loi et doivent être respectés, quels que soient les risques ;
  • l’étude, de nature plus technique, des risques sur la sécurité des données (confidentialité, intégrité et disponibilité) ainsi que  leurs impacts potentiels sur la vie privée, qui permet de déterminer les mesures techniques et organisationnelles nécessaires pour protéger les données.

Quand la mettre en œuvre ?

La CNIL avait accordé une dispense d’obligation de réaliser une AIPD pendant une période de 3 ans à compter du 25 mai 2018 dans certaines conditions. Il s’agissait notamment des traitements :

  • qui avaient fait l’objet d’une formalité de déclaration préalable avant le 25 mai 2018 (récépissé de déclaration normale ou d’engagement de conformité à une norme de référence, délibération portant autorisation ou avis de la CNIL) ;
  • ou qui avaient été consignés au registre du Correspondant Informatique et Libertés, sous réserve qu’ils n’aient pas fait l’objet d’une modification substantielle.

A compter du 25 mai 2021, la réalisation d’une AIPD deviendra obligatoire

A compter du 25 mai 2021, la réalisation d’une AIPD deviendra donc obligatoire pour tous les traitements susceptibles d’engendrer des risques élevés pour les personnes concernées, quel que soit leur régime de formalité antérieur au RGPD. Il appartient aux entreprises de s’assurer qu’elles sont à jour de leurs obligations à cet égard, au plus tard au 25 mai 2021.

Stéphanie Poussou
Publié le 20/04/2021 par Stéphanie Poussou