Le règlement général sur la protection des données s’enrichit de nouvelles lignes directrices sur l’analyse d’impact
Après avoir analysé les contributions reçues dans le cadre de la consultation publique sur la première version de ses lignes directrices explicitant les notions d’autorité chef de file, de délégué à la protection des données et de droit à la portabilité, le G29 a adopté le 5 avril 2017 leurs versions définitives.
A l’exception des lignes directrices sur l’autorité chef de file qui restent inchangées, la documentation a ainsi été retravaillée (voir la version définitive des lignes directrices sur le délégué a protection des données et sur la portabilité).
D’utiles précisions sont apportées quant au droit à la portabilité, notamment s’agissant :
- des données à transférer par le responsable initial (celles que la personne concernée a souhaité voir communiquées) et à conserver par le responsable destinataire (celles qui sont nécessaires à la fourniture du service) ;
- des cas où le droit à la portabilité ne s’applique pas (traitements basés sur l’intérêt légitime de l’employeur ou sur une obligation légale d’institutions financières par exemple), ou encore ;
- sur les moyens à mettre en place pour transférer ces données (transmission directe d’un jeu de données et/ou outil automatique permettant son extraction dans un format interopérable) et les limites de ces moyens (l’interopérabilité des systèmes n’impliquant pas leur compatibilité).
S’agissant du délégué à la protection des données, les modifications clarifient notamment le fait que l’accessibilité de ce dernier implique en principe sa présence sur le territoire de l’Union européenne, sauf cas exceptionnel où le responsable de traitement ou le sous-traitant n’y disposerait d’aucun établissement.
Par ailleurs, de nouvelles lignes directrices ont été adoptées le 4 avril 2017 relatives à l’analyse d’impact prévue à l’article 35 du règlement général sur la protection des données. Ce dernier prévoit en effet que « lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel ».
Les lignes directrices précisent les types de traitements présumés présenter un « risque élevé » :
- profilage ;
- traitement susceptible d’exclure les personnes concernées ;
•surveillance de l’espace public ; - traitement à grande échelle en termes de nombre de personnes, volume de données ou aire géographique ;
- traitement portant sur les données sensibles (en ce explicitement incluses les données de trafic ou de géolocalisation, ou encore les données utilisées par la personne concernée pour ses activités purement personnelles telles que correspondance privée) ;
•interconnexion de fichiers ; - personnes « vulnérables » telles qu’enfants ou salariés ;
- utilisation de nouvelles technologies et en particulier de procédés biométriques ;
- transfert hors de l’Union européenne, etc.
Certains de ces cas rappellent fort logiquement les traitements soumis à autorisation de la Commission nationale de l’informatique et des libertés (CNIL) en vertu de la loi n°78-17 du 6 janvier 1978.
Le G29 précise également que les traitements mis en place avant l’entrée en application du règlement ne sont pas soumis à cette obligation mais encourage toutefois une telle analyse et rappelle qu’en tout état de cause, elle s’impose en cas de changement impactant le niveau de risque ou encore au bout de trois ans maximum à compter de l’entrée en application.
Autres points à noter : l’analyse d’impact peut être externalisée, elle doit si nécessaire donner lieu à avis de la part de tiers indépendants (experts juridiques et/ou techniques), elle devrait idéalement être publiée en tout ou en partie. Pour les entités souhaitant se pencher plus avant sur la question, des cadres plus détaillés existent déjà dans certains pays (comme la méthode PIA de la CNIL) ou pour certaines technologies (comme les recommandations du G29 sur les systèmes RFID et les compteurs communicants).
Ces lignes directrices sont ouvertes à la consultation pour une durée de six semaines avant leur adoption finale. D’autres jeux sont encore attendus en 2017 dont un, en premier lieu, sur la certification de conformité au règlement. La CNIL a également clos récemment une consultation publique consacrée à la notification de violations, au profilage et au consentement.
Auteurs
Anne-Laure Villedieu, avocat associée en droit de la propriété industrielle, droit de l’informatique, des communications électroniques et protection des données personnelles.
Julie Tamba, avocat en droit de la propriété intellectuelle et droit commercial