Oui, une analyse d’impact doit être faite avant de réaliser un traitement sur des données à caractère personnel, mais uniquement s’il engendre un « risque élevé » pour les personnes ou s’il contient certains traitements spécifiques.

Lorsqu’un traitement sur des données personnelles est envisagé, le RGPD[1] demande de réaliser « une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel » si le traitement « est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques »[2].

« Lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel. »

— RGPD, article 35-1, analyse d’impact relative à la protection des données

Il est donc nécéssaire de juger si le traitement envisagé présente un « risque élevé » pour savoir si une analyse d’impact doit être réalisée ou non. Le règlement précise cependant qu’une analyse d’impact doit obligatoirement être réalisée dans les cas suivants[3] :

  • lorsque le traitement effectue un profilage automatique des personnes ayant « des effets juridiques » sur elles ;
  • lorsque le traitement manipule des données sensibles « à grande échelle » ;
  • lorsque le traitement surveille une zone accessible au public.

Dans le doute, il est probablement préférable de réaliser une telle analyse, car cela permet d’avoir une meilleure connaissance sur les éventuels conséquences néfastes du traitement. Cela permet aussi d’éviter une éventuelle sanction dans le cas où une analyse n’a pas été réalisée suite à une erreur d’appréciation.

De nombreux organismes ont déjà été sanctionnés pour n’avoir pas jugé nécessaire, à tort, de réaliser une analyse d’impact, notamment :

  • l’aéroport de Bologne (Italie), car une application destinée aux lanceurs d’alerte a été développée sans réaliser une analyse d’impact[4] ;
  • le spécialiste de la livraison de repas Foodinho, car un profilage automatisé des livreurs était réalisé réaliser une analyse d’impact[5].

Notes et références

  1. RGPD : Règlement Général sur la Protection des Données (Règlement (UE) 2016/679).
  2. Lorsqu’un traitement sur des données personnelles est envisagé et que ce traitement « est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques », « une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel » doit être réalisée (source : RGPD, article 35).
  3. Une analyse d’impact doit obligatoirement être réalisée lorsque le traitement effectue certaines opérations. La liste de ces opérations est détaillée dans l’article 35-3 du RGPD.
  4. L’aéroport de Bologne a été sanctionnée, car une application destinée aux lanceurs d’alerte était réalisée sans analyse d’impact (source : GPDP, 9685922, 10 juin 2021, aéroport de Bologne). Voir « L’aéroport de Bologne (Italie) sanctionné pour avoir traité des données personnelles sans chiffrement ».
  5. La société Foodinho a été sanctionnée, un profilage automatisé des livreurs était réalisé sans analyse d’impact (source : GPDP, 9675440, 10 juin 2021, Foodinho). Voir « La société FOODINHO sanctionnée suite au traitement illicite des données personnelles de ses livreurs ».