Dans un communiqué mis en ligne le 18 octobre 2017, la CNIL a informé toutes les organisations, en particulier les responsables de traitements, que les autorités européennes de protection des données personnelles (le G29), ont adopté, dans le cadre de la mise en œuvre du Règlement Général sur la Protection des Données personnelles (RGPD), les lignes directrices concernant les analyses d’impacts (DPIA – Data Protection Impact Assessment), visées à l’article 35 du RGPD.
Il convient de rappeler sur ce point, que lorsqu’un traitement de données à caractère personnel, est susceptible d’engendrer, par le recours à de nouvelles technologies ou autrement, un risque plus ou moins élevé pour les droits des personnes physiques concernées (ex : salariés, clients, prospects, fournisseurs, partenaires, etc.), le responsable du traitement doit effectuer, avant la mise en œuvre du traitement, une analyse d’impact.
En cas de manquements aux dispositions relatives aux analyses d’impacts, le montant des amendes administratives peut s’élever jusqu’à 10 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu, comme fixées à l’article 83(4)(a) du RGPD.
A la suite de cette publication du G29, la CNIL prépare de nouveaux « guides PIA », ainsi qu’un logiciel libre pour aider les professionnels, responsables de traitements ou prestataires sous-traitants, à définir dans quels cas une analyse d’impact est obligatoire et les accompagner dans la réalisation. Pour compléter ces outils, la CNIL indique aussi que des travaux sont prévus pour porter sur la création de deux listes :
- les traitements de données personnelles qui requièrent de mener un DPIA
- les traitements de données personnelles qui n’ont pas besoin de faire l’objet d’un DPIA
Enfin, la CNIL prévoit de faire paraître un cadre documenté pour conduire des DPIA sur des objets connectés et une étude de cas d’ici la fin d’année 2017.
