L’Analyse d’Impact relative à la Protection des Données (AIPD), également dit Privacy Impact Assessment (PIA), est un outil permettant de construire des traitements de données respectueux de la vie privée et à démontrer leur conformité au Règlement général sur la protection des données (RGPD). Elle est obligatoire pour les traitements susceptibles d’engendrer des risques élevés et se décompose comme suit :
- Une description détaillée du traitement mis en œuvre, comprenant tant les aspects techniques qu’opérationnels;
- L’évaluation juridique de la nécessité et de la proportionnalité des traitements concernant les principes et droits fondamentaux (finalité, données et durées de conservation, information et droits des personnes, etc.).
- L’étude technique des risques sur la sécurité des données (confidentialité, intégrité et disponibilité) ainsi que leurs impacts potentiels sur la vie privée, qui permet de déterminer les mesures techniques et organisationnelles nécessaires pour protéger les données.
L’Analyse d’Impact relative à la Protection des Données (AIPD) est inscrite dans l’article 35 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données; et a fait l’objet de quelques précisions de la part de la CNIL:
- Délibération n° 2018-326 du 11 octobre 2018 portant adoption de lignes directrices sur les analyses d’impact relatives à la protection des données (AIPD) prévues par le règlement général sur la protection des données (RGPD);
- Délibération n° 2018-327 du 11 octobre 2018 portant adoption de la liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise;
- Délibération n° 2019-118 du 12 septembre 2019 portant adoption de la liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données n’est pas requise.
Pour aider les organismes à mettre en place leur conformité, la Commission Nationale de l’Informatique et des Libertés (CNIL) a développé un logiciel pour réaliser l’AIPD utilisable en ligne ou téléchargeable directement ici.
Celui-ci s’accompagne de nombreux documents complémentaires pour comprendre la mise en oeuvre de la conformité au RGPD et des guides d’utilisation pour appréhender le logiciel :
- Liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données n’est pas requise
- Liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise
- Infographie PIA vue d’ensemble des obligations et de la méthode
- Analyse d’impact relative à la protection des données (AIPD) 1 : la méthode
- Analyse d’impact relative à la protection des données (AIPD) 2 : les modèles
- Analyse d’impact relative à la protection des données (AIPD) 3 : les bases de connaissances
- Analyse d’impact relative à la protection des données (AIPD) : étude de cas « Captoo »
- Analyse d’impact relative à la protection des données : application aux objets connectés
- Infographie PIA vue d’ensemble des obligations et de la méthode
- Lignes directrices du G29 sur l’analyse d’impact relative à la protection des données – AIPD
Quelques pistes de lectures sur le sujet:
- Revue de Jurisprudence de Droit des Affaires (RJDA), Note sous Conseil d’État, 6 novembre 2019, requête numéro 434376, 1er février 2020, pp. 157-158.
- Danhoé Reddy-Girard, « De manière très pratique, les actions à prendre pour se conformer au RGPD », Option Droit & Affaires, IP/IT, mis en ligne le 10 janvier 2018, disponible en ligne ici.
- Emmanuel Jouffin, « RGPD et analyse d’impact: la CNIL fixe sa doctrine », Banque & Droit, n°182, novembre 2018, pp.-52-56.
- Céline Castets-Renard, « Brève analyse du règlement général relatif à la protection des données personnelles », IP/IT, Dalloz, n°7 et 8 regroupés, juillet 2016, pp.331-335.
