RGPD : l’Analyse d’impact sur la vie privée est obligatoire en matière RH

Une AIPD est un processus dont l’objet est de décrire le traitement, d’en évaluer la nécessité ainsi que la proportionnalité et d’aider à gérer les risques pour les droits et libertés des personnes physiques liés au traitement de leurs données à caractère personnel, en les évaluant et en déterminant les mesures nécessaires pour y faire face^[1].

Le responsable de traitement doit effectuer une AIPD, préalablement à la mise en œuvre du traitement, lorsque celui-ci est susceptible d’engendrer « un risque élevé pour les droits et libertés des personnes physiques» (art. 35.1 du RGPD ).

Un risque pour la vie privée est un scénario décrivant :

• un événement redouté (atteinte à la confidentialité, la disponibilité ou l’intégrité des données et ses impacts potentiels sur les droits et libertés des personnes) ;

• toutes les menaces qui permettraient qu’il survienne.

Ce risque est estimé en termes de gravité et de vraisemblance. La gravité doit être évaluée pour les personnes concernées, et non pour l’organisme.

Une AIPD doit alors obligatoirement être menée :

• si le traitement envisagé figure dans la liste des types d’opérations de traitement pour lesquelles la Cnil a estimé obligatoire de réaliser une AIPD ;

• si le traitement remplit au moins deux des neuf critères issus des lignes directrices du G29^[2] :
  • évaluation/scoring (y compris le profilage) ;
  • décision automatique avec effet légal ou similaire ;
  • surveillance systématique ;
  • collecte de données sensibles (origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, données génétiques ou de santé, données biométriques et données concernant la vie ou l’orientation sexuelle) ;
  • collecte de données à caractère hautement personnel (données relatives à des communications électroniques, données de localisation, données financières…) ;
  • croisement de données ;
  • collecte de données personnelles à large échelle ;
  • personnes vulnérables (patients, personnes âgées, enfants, salariés…) ;
  • usage innovant (utilisation d’une nouvelle technologie) ;
  • exclusion du bénéfice d’un droit/contrat.

L’AIPD doit au moins contenir (art. 35.7 du RGPD) :

• la description systématique des opérations de traitement, des finalités et, le cas échéant, l’intérêt légitime poursuivi par le responsable du traitement ;

• une évaluation de la nécessité et de la proportionnalité des traitement au regard des finalités ;

• une évaluation des risques pour les droits et libertés des personnes concernées ;

• les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel.

La Cnil a proposé divers outils et méthodologies permettant de mener ces AIPD. L’entreprise pourra demander conseil au délégué à la protection des données (DPO), si elle en a désigné un.

À noter que la société pourra devoir adresser à la Cnil son AIPD (art. 36) dans des cas limitativement prévus soit :

• s’il apparait que le niveau de risque résiduel reste élevé (aux fins de consultation de la Cnil) ;
• quand la législation de l’État l’exige ;
• en cas de demande de la Cnil.

L’on retiendra que l’AIPD ne sera pas exigée pour les traitements qui ont fait l’objet d’une formalité préalable auprès de la Cnil avant le 25 mai 2018, ou qui étaient dispensés de formalité, ou ceux consignés au registre d’un correspondant « informatique et libertés ».

Cette dispense est limitée à une période de 3 ans. À l’issue de ce délai, les responsables de traitement devront avoir effectué une telle étude si le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes.

Une AIPD devra être réalisée dès lors que le traitement présente un risque élevé pour :

• tout nouveau traitement mis en œuvre après le 25 mai 2018 ;

• les traitements antérieurs n’ayant pas fait l’objet de formalités préalables auprès de la Cnil ;

• les traitements, antérieurs au 25 mai et qui ont été dispensés d’étude d’impact en raison de l’accomplissement d’une formalité préalable auprès de la Cnil, mais qui font l’objet d’une modification significative.

Classiquement l’on recense les traitements RH suivants depuis l’entrée dans les effectifs du salarié jusqu’à sa sortie (liste non exhaustive) :

• le recrutement des collaborateurs, la gestion de l’intérim et du travail temporaire ;

• la gestion du personnel, ceci englobant :

• les données provenant de la médecine du travail et le suivi des accidents du travail, souscription à la mutuelle et la prévoyance de l’entreprise,

• la paie et des avantages sociaux,

• la gestion administrative du personnel (dossier professionnel, annuaire interne, organisation de l’agenda et des tâches),

• l’allocation des ressources (voitures de sociétés, gestion des outils informatiques) et le contrôle de leur utilisation (gestion des infractions routières, contrôle de la charte informatique),

• la gestion des congés et temps de travail,

• l’évolution de carrière du salarié, y compris son évaluation et sa formation ;

• la gestion des alertes professionnelles (loi Sapin II) ;

• le contrôle d’accès aux locaux, y compris la vidéosurveillance ;

• la gestion des enregistrements des collaborateurs à des fins de formation ou de contrôle qualité ;

• la gestion des instances représentatives du personnel, y compris les élections professionnelles.

L’ex G29 a toujours considéré que le salarié était une personne vulnérable^[3] comme personne pour laquelle un déséquilibre dans la relation avec le responsable du traitement (son employeur) peut être identifié.

La Cnil a identifié les traitements en matière RH qui nécessitent une AIPD (voir tableau) .

Enfin, si des dispositifs de reconnaissance biométriques sont déployés au sein de l’entreprise ou des actions sociales sont mises en œuvre (assistante sociale au sein de l’entreprise), même si les exemples donnés dans la liste de la Cnil ne couvrent pas des traitements visant des salariés, des AIPD devront être réalisées sur le fondement des critères retenus par la Cnil.

Selon la taille de l’entreprise et son activité, celle-ci- devra mettre en œuvre les AIPD correspondantes en tenant compte des technologies associées.

L’AIPD vise à assurer la conformité au RGPD et attester des mesures mises en œuvre dans le cadre du principe d’accountability. Ne pas effectuer une AIPD (art. 35, paragraphes 1, 3 et 4), ou le faire de manière incorrecte (art. 35, paragraphes 2 et 7 à 9) est lourdement sanctionné d’une amende administrative pouvant s’élever jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent.

Les entreprises doivent sans plus attendre rajouter dans le cadre de leur plan d’actions de mise en conformité la réalisation des AIPD.

[1] Lignes directrices concernant l’AIPD et la manière de déterminer si le traitement est « susceptible d’engendrer un risque élevé » aux fins du règlement (UE) 2016/679 du G29 WP 248 rev 01
[2] Le G29 réunissait l’ensemble des Cnil européennes. Il a été remplacé par l’EDPB (Comité européen à la protection des données) depuis le RGPD
[3] P 12 WP 248 rev 01 précité.