RGPD : la Cnil précise qui devra réaliser des analyses d’impact

Le règlement général sur la protection des données (RGPD) prévoit la réalisation d’analyses d’impact relatives à la protection des données (AIPD, ou PIA en anglais pour privacy impact assessment) lorsque les traitements sont “susceptibles d’engendrer un risque élevé pour les droits et les libertés des personnes”. Une obligation dont la Commission nationale de l’informatique et des libertés (Cnil) vient de préciser le périmètre. Deux délibérations sont ainsi parues au Journal officiel du 6 novembre 2018.

L’une d’entre elles liste les opérations de traitement pour lesquelles la Cnil requiert donc une AIPD. Y figurent notamment les données de santé traitées par les établissements de santé ou médicosociaux, les données génétiques de personnes dites “vulnérables” (les patients en sont) et la constitution d’entrepôt de données de santé ou de registre de données de santé. Cette liste non-exhaustive sera “régulièrement revue”, précise la Cnil.

La Cnil laisse une souplesse aux organisations

La seconde délibération détaille les conditions de réalisation de ces AIPD. Elle stipule d’emblée que l’existence de la liste des traitements nécessitant une AIPD n’exclut pas, “de manière générale”, qu’un traitement rencontrant au moins deux des neuf critères établis par le Comité européen à la protection des données doit également faire l’objet d’une AIPD. Ces neuf critères comprennent les données traitées à grande échelle, les données sensibles (dont les données de santé), celles concernant des personnes vulnérables (les patients en font partie), le croisement ou la combinaison de données, l’évaluation/scoring, la prise de décision automatisée avec un effet juridique ou similaire, la surveillance systématique de personnes, un traitement pouvant exclure du bénéfice d’un droit, d’un service ou d’un contrat et une utilisation innovante ou l’application de nouvelles solutions technologiques ou organisationnelles.

Une organisation dont un traitement de donnnées personnelles rencontre deux de ces neuf critères peut toutefois se dispenser d’une AIPD si elle estime pour autant que le traitement qu’elle fait des données ne présente pas un risque élevé. “À l’inverse, un responsable peut estimer que son traitement présente un risque élevé bien qu’il ne satisfasse qu’à un seul des critères ci-dessus. En conséquence, il réalisera une AIPD”, indique la Cnil qui ajoute qu’“en cas de doute une AIPD devrait être effectuée”. “Une certaine latitude est accordée au responsable de traitement, commente Corinne Thiérache, avocate au Barreau de Paris et associée du cabinet Alerion responsable du département Technologies de l’information et de la communication, qui repose en réalité sur une appréciation très subjective de la notion de risque élevé pour les droits et libertés des personnes concernées.” Enfin, les traitements ayant fait l’objet d’une formalité auprès de la Cnil avant le 25 mai 2018 “n’ont pas à faire l’objet d’une AIPD dans un délai de trois ans à compter” de cette date, à moins d’une “modification substantielle”. Une AIPD doit en tout cas être revue tous les trois ans.

Pour l’avocat Pierre Desmarais, spécialisé en droit numérique, le fait que la Cnil n’ait pas retenu le critère de la taille de l’établissement de santé ou du service “pourrait permettre à des cabinets d’imagerie multisites partageant le même système d’information d’échapper à l’obligation, là où le plus petit établissement hébergeant des personnes âgées dépendantes (Ehpad) y serait tenu. En effet, l’acceptation de la notion d’‘entrepôt de données de santé’ ne semble viser que des bases constituées à des fins de recherche, ce qui permettrait à un Pacs (Picture archiving and communication system) partagé entre différents sites d’échapper à la PIA” (ou AIPD), sous réserve que le traitement des données ne présente pas un risque élevé. “Si cela peut en consoler certains”, il ajoute qu’“il y a fort à parier que la situation des hôpitaux, cliniques et établissements médicosociaux du reste de l’Union européenne ne sera pas plus souple”.