01 56 43 68 80

6, rue de Saint-Petersbourg, 75008 Paris

5 raisons de mener une Etude d’Impact

Données personnelles haas avocats
  • Actualité juridique, Base de données, BIG DATA, CGV, Confidentialité, Contentieux, Cybercriminalité, Cybermarchand, Data, Données de santé, Données personnelles, Droit communautaire, Droit de l'Internet, E-Commerce, E-Réputation, Fichier informatique, Information et libertés

Et avec Jean-Philippe SOUYRIS et Stéphane ASTIER

L’Etude d’Impact sur la vie privée ou PIA (Privacy Impact Assessment) est une obligation introduite par le règlement européen 2016/679 du 27 avril 2016 relatif à la protection des données à caractère personnel.

Il s’agit d’un document clé dans le cadre de la gestion des risques liés au traitement des données à caractère personnel qui concerne non seulement les entreprises (publiques ou privées) responsables de traitements de données mais également les sous-traitants fournisseurs de solution permettant de mettre en œuvre lesdits traitements.

Afin de préparer au mieux les entreprises à la mise en application du Règlement européen, la CNIL invite d’ores et déjà l’ensemble des acteurs à réaliser de telles études prévues à l’article 35 du texte Européen[1].

L’obligation de réaliser une étude d’impact sur la vie privée s’inscrit en effet dans une logique de responsabilisation des acteurs qui a guidé l’élaboration du Règlement européen dont l’objectif est d’anticiper les évolutions technologiques (profilage de masse, Big Data, intelligence artificielles).

Au-delà de cette responsabilisation nécessaire des acteurs aux regards des nouveaux défis technologiques et éthiques, l’étude d’Impact s’impose également comme un vecteur de confiance dans la relation des acteurs à leurs partenaires et à leurs clients.

Voici 5 bonnes raisons de mener une telle étude.

 

1/ L’accountability au service de la sécurité juridique

Le principe d’accountability[2] figure à l’article 5 du règlement. Cet article rappelle dans son premier paragraphe les grands principes de la règlementation informatique et libertés :

  • Licéité, loyauté transparence
  • Limitation des finalités
  • Minimisation des données
  • Exactitude
  • Limitation de la conservation
  • Intégrité et confidentialité des données

Le second paragraphe oblige tout responsable de traitement à être en mesure de justifier à tout moment du respect de ces principes.

Dans ce cadre, l’Etude d’Impact, qui présente une analyse des mesures juridiques mises en œuvre par les entreprises se présente comme l’outil idéal pour démontrer le respect des grands principes de la législation IEL. Elle permet d’assurer la sécurisation juridique des traitements de données mis en œuvre mais également des solutions techniques permettant de traiter des données.

 

2/ Une démarche de conformité : privacy by design et privacy by default

Les principes de la protection des données à caractère personnel dès la conception et par défaut ou « Privacy by design » et « Privacy by default » est un concept d’origine canadienne qui impose au responsable d’un traitement de mettre en œuvre toutes les mesures techniques et organisationnelles nécessaires au respect de la protection des données personnelles, à la fois dès la conception du produit ou du service et par défaut. (Cf. Article 25 du règlement)

La structure d’une Etude d’Impact comporte l’analyse des mesures juridiques, techniques et organisationnelles, existantes et prévues permettant de traiter les risques sur la vie privée.

Ainsi, l’Etude d’Impact permet aux responsables de traitement comme des fournisseurs de solutions dédiées à la mise en œuvre de traitements de mettre en avant l’ensemble des mesures prises en vertu du principe du Privacy by design : pseudonymisation, minimisation, chiffrement, éloignement des sources de risques ….

Le PIA (ou Etude d’Impact) permet en outre de « prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement » conformément à l’article 34 de la loi informatique et libertés.

 

3/ L’Etude d’Impact : une obligation généralisée à la majorité des traitements

L’article 35 du règlement européen prévoit que le responsable d’un traitement doit effectuer une Etude d’Impact lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques.

Cette obligation est renforcée lorsque le responsable procède à l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire.

Pour mieux prendre en compte l’évolution de l’économie numérique, le règlement européen a défini la notion de profilage, il s’agit de « toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique; »

Il s’agit ici d’encadrer les nombreuses technologies utilisées dans le secteur du e-marketing dont l’objet est d’analyser de manière de plus en plus fine les goûts, les habitudes et le comportement des utilisateurs (cookies, retargeting, etc…).

En conséquence, les cas où une Etude d’Impact est nécessaire s’avèrent très nombreux. Dès lors qu’une nouvelle technologie est utilisée (en matière d’objets connectés notamment), ou qu’un profilage est envisagé, le processus deviendra obligatoire.

La sanction en cas de non-respect de l’obligation de mener une Etude d’Impact n’est pas à prendre à la légère ! En effet, les autorités de contrôle pourront prononcer des amendes administratives pouvant s’élever à 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial. Anticipant l’application du règlement, la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique a renforcé les pouvoirs de sanction de la CNIL en lui permettant d’infliger des amendes de 3 millions d’euros.

Loin d’être simplement une contrainte, l’Etude d’Impact a néanmoins vocation à s’imposer comme un gage de confiance et un outil de valorisation.

 

  • 4/ L’Etude d’Impact : un vecteur de valorisation et de confiance

L’Etude d’Impact contribue à renforcer la confiance des clients à travers la justification et la mise en avant de garanties de sécurité et de confidentialité des données.

Une donnée captée en fraude des droits des personnes visées n’a plus de valeur. La Cour de Cassation indique même qu’une base de données constituée en violation de la loi informatique et libertés sera placée en dehors du commerce et ne pourra donc faire l’objet d’aucune valorisation[3]. La valorisation du patrimoine informationnel étant un acte clé de gouvernance tant au niveau public qu’au niveau privé, l’Etude d’Impact constitue l’outil incontournable pour remplir cet objectif. Confiance, valorisation… les enjeux autour de la donnée sont colossaux. Les données sont en effet par nature génératrices de valeur dans le cadre de leur exploitation commerciale (e-marketing, publicité ciblée…). En cas de défaut de sécurité, les traitements mutent en vecteur de nuisance lors d’actions non justifiées (discrimination, refus de prestations…) ou de démarches malveillantes (transaction bancaire frauduleuse, usurpation, chantage à la destruction de données, cambriolage, diffamation, menaces, agression…).

Dans un contexte où les vols et divulgations frauduleuses de données se multiplient, l’Etude d’Impact s’inscrit dans une démarche de transparence et de confiance vis-à-vis des utilisateurs permettant de développer une culture de la protection de la vie privée.

Elle pourra donc utilement compléter la politique de confidentialité d’un site web ou d’une application dans le but d’informer les utilisateurs des mesures de sécurité et de confidentialité prises pour protéger leurs données.

 

  • 5/ L’Etude d’Impact : un outil stratégique de développement

L’Etude d’Impact reflète les mesures de sécurité physiques et logiques mises en œuvre pour assurer la conformité d’une solution commercialisée (ex. service en mode SaaS) et plus généralement de tout type de traitements susceptibles de générer un risque pour la vie privée des personnes concernées (e-santé, données sensibles, profilage dans le secteur e-marketing etc.)

Lorsqu’un partage de données à caractère personnel est mis en œuvre, ou lorsqu’une entreprise envisage de recourir à des services dématérialisés, l’Etude d’Impact pourra être communiquée totalement ou partiellement, part exemple lors de procédures d’appel d’offres. Avec la recrudescence des actes de fraudes informatiques, l’Etude d’Impact devient un élément décisionnel capital lors du choix d’un partenaire, fournissant un avantage concurrentiel non négligeable pour l’acteur qui justifie d’une telle garantie.

 

Avec cette inversion de modèle directement tiré des concepts de Privacy by design et d’accountability, la réglementation « informatique et libertés » a opéré une profonde mutation.

Responsabilisation des acteurs, renforcement considérable des sanctions, recherche d’une augmentation du niveau de conformité par l’offre, gestion des risques a priori etc., autant d’objectifs et de principes qui favoriseront mécaniquement les « bons élèves » dans une sphère commerciale en recherche de modèles fiables.

Pour ce faire, l’Etude d’Impact apparaît comme l’outil indispensable. Juridique et technique, cette procédure suppose un accompagnement spécifique.

Dans le cadre d’une mission globale comprenant l’analyse des aspects juridiques et opérationnels des traitements ainsi que la réalisation de tests d’intrusion en partenariat avec une société spécialisée, le Cabinet HAAS Avocats assiste ses clients acteurs du digital dans l’élaboration de leur Etude d’Impact.

 

Vous souhaitez en savoir plus sur cette prestation ?

Cliquez ICI

[1] Afin de faciliter la réalisation d’Etudes d’Impact sur la vie privée la CNIL s’appuie notamment sur la méthode EBIOS (expression des Besoins et Identification des Objectifs de Sécurité) ou encore sur la méthode de gestion des risques publiée par l’Agence nationale de la sécurité des systèmes d’information (ANSSI)) appliquée dans le contexte spécifique « Informatique et libertés »

[2] La Cnil définit l’accountability de la manière suivante : « L’accountability  désigne l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données. » Cf. www.cnil.fr

[3] Cf. https://www.haas-avocats.com/actualite-juridique/la-cession-dun-fichier-client-non-declare-a-la-cnil-est-nulle/

ENVELOPPE NEWSLETTER copie

L'actu juridique numérique
du mardi matin.

Inscrivez-vous pour recevoir nos derniers articles, podcasts, vidéos et invitations aux webinars juridiques.

*Champs requis. Le cabinet HAAS Avocats traite votre adresse e-mail pour vous envoyer ses newsletters.

Vous pouvez accéder aux données vous concernant, les rectifier, demander leur effacement ou exercer votre droit à la limitation du traitement de vos données en nous contact à l’adresse mail suivante : dpo@haas-avocats.com