Lignes directrices G29 sur le PIA : décodage
Les lignes directrices insistent sur un point essentiel : qu’il soit ou non obligatoire, le PIA est un outil essentiel de l’«accountability », pierre angulaire du RGPD, qui désigne la capacité de chaque entreprise (qu’elle soit en position de responsable de traitement ou de sous-traitant) à démontrer qu’elle gère de façon adéquate et proportionnée les risques que ses traitements font encourir aux personnes du fait des données qu’elles détiennent sur elles.
- Premier point d’attention : Les entreprises ont intérêt à élaborer un PIA pour chaque processus « structurant » qui traite des données personnelles, même si le PIA n’est pas obligatoire. Par exemple les données client/prospect, les données de recrutement, ou toute autre donnée cœur de métier. Cela lui permettra de détecter les faiblesses, d’anticiper les risques, et de documenter sa démarche d’accountability.
- Second point d’attention : Quand le PIA est-il obligatoire ?
Le PIA est obligatoire dès lors que le traitement est susceptible de créer un « risque élevé » pour les droits et les libertés des personnes physiques. Au-delà des exemples très généraux fournis par le RGPD (évaluation systématique de données personnelles conduisant à des décisions ayant des effets juridiques, traitement de données sensibles, surveillance à grande échelle sur des zones accessibles au public), les lignes directrices fournissent dix critères à prendre en compte pour identifier l’existence d’un « risque élevé » :
- L’évaluation de la performance au travail, de la situation économique, de la santé, des intérêts personnels, du comportement, des déplacements.
- Le profiling, défini comme un procédé conduisant automatiquement à une décision structurante pour la personne (par exemple l’exclusion ou la discrimination).
- La surveillance dans un lieu public, sur laquelle les personnes n’ont aucun moyen d’action.
- Le traitement de données sensibles, qui incluent les données « particulières » ou les infractions au sens du RGPD mais pas seulement. Il peut aussi s’agir de données financières ou de localisation, dont le traitement peut également engendrer des risques élevés.
- Tout traitement effectué à « grande échelle », au regard du nombre ou de la proportion de données traitées, le caractère permanent du traitement ou son extension géographique.
- Les traitements conduisant à recouper des données collectées pour une finalité différente (ce qui ramène à la notion d’« interconnexion de fichier » nécessitant une autorisation de la CNIL au sens de l’actuelle Loi Informatique et Libertés).
- Les traitements de données des sujets « vulnérables » ou positionnés dans un rapport de force défavorable : employés, enfants, personnes mentalement déficientes par exemple.
- Utilisation de technologies disruptives, telles que l’usage combiné de la reconnaissance par empreinte digitale et faciale, ou l’internet des objets.
- Les transferts de données en dehors de l’Union européenne.
- Les traitements susceptibles de priver une personne d’un droit : par exemple la vérification de la présence d’une personne dans une base pour refuser de lui accorder un crédit.
Les lignes directrices précisent que ces critères ne sont pas à utiliser de façon isolée : si un traitement répond à plus de deux critères, il présente à coup sûr un risque élevé. En dessous, cela n’est pas sûr.
On l’aura compris, l’application pratique de ces règles est complexe. La CNIL devra se positionner aux fins d’aider les entreprises à trouver des repères clairs aux fins de savoir si certains traitements sont – ou non – dans le champ d’application du PIA obligatoire. Et dans le doute, mieux vaudra en faire un.
- Troisième point d’attention : faut-il soumettre systématiquement le PIA à la CNIL ?
La réponse est non. Le PIA ne devrait en théorie être soumis à la CNIL que s’il subsiste des risques résiduels élevés pour les droits et libertés des personnes. Cette position est doublement obscure. D’une part parce qu’on ne voit pas bien une entreprise aller soumettre à la CNIL un PIA dont elle sait pertinemment qu’il montre des insuffisances dans les mesures mises en œuvre. Et d’autre part parce qu’il reste toujours des risques résiduels, c’est la nature même du risque. Et selon quel critère l’entreprise va-t-elle considérer qu’ils sont élevés ? Le G29 ne le précise pas. On peut supposer que la CNIL fournira des explications sur ce point.
- Quatrième point d’attention : que doit contenir le PIA et comment le faire ?
C’est au responsable de traitement qu’il revient d’initialiser le PIA mais si le traitement est réalisé en partie par des sous-traitants, ceux-ci doivent participer pour la partie du traitement qu’ils assurent. En pratique, il est souhaitable que les entreprises « sous-traitantes », qui par exemple fournissent des services en mode SaaS, élaborent des « PIA génériques » qui seront un gage de sécurité et de qualité pour leurs clients.
Le PIA est un exercice libre, mais il doit contenir a minima :
- Une description du processus et des finalités du traitement ;
- Une évaluation de la nécessité et de la proportionnalité du traitement ;
- Une évaluation des risques pour les droits et libertés des personnes, le risque étant ici défini comme un scenario décrivant un scenario et ses conséquences, estimés en termes de sévérité et de vraisemblance.
- Les mesures envisagées pour adresser les risques et démontrer la conformité à la GDPR.
Aucune méthode n’est imposée en particulier, mais l’annexe 2 des lignes directrices fournit un plan type clair et complet de PIA.
- Cinquième point d’attention : le PIA n’est pas une action « one shot » (comme les déclarations). C’est un processus continu, qui doit être régulièrement revu en fonction des facteurs susceptibles de le modifier.
En conclusion, quelques remarques d’imposent :
- L’ère des déclarations « formelles » faites une fois pour toutes, quand elles l’étaient, puis oubliées, est terminée.
- La conformité RGPD, vu du mauvais côté, est un entre de coût.
- Mais il y a un bon côté aussi, pour l’entreprise : la démarche de conformité RGPD est totalement cohérente avec celle de l’organisation de la donnée dans l’entreprise et les démarches qualité et sécurité, qui sont des must absolus dans un monde où le patrimoine de l’entreprise est devenu quasi intégralement incorporel, donc éminemment menacé et fragile.