RGPD : le G29 adopte les lignes directrices définitives concernant les analyses d’impacts

Dans un communiqué mis en ligne le 18 octobre 2017, la CNIL a informé toutes les organisations, en particulier les responsables de traitements, que les autorités européennes de protection des données personnelles (le G29), ont adopté, dans le cadre de la mise en œuvre du Règlement Général sur la Protection des Données personnelles (RGPD), les lignes directrices concernant les analyses d’impacts (DPIA – Data Protection Impact Assessment), visées à l’article 35 du RGPD.

Il convient de rappeler sur ce point, que lorsqu’un traitement de données à caractère personnel, est susceptible d’engendrer, par le recours à de nouvelles technologies ou autrement, un risque plus ou moins élevé pour les droits des personnes physiques concernées (ex : salariés, clients, prospects, fournisseurs, partenaires, etc.), le responsable du traitement doit effectuer, avant la mise en œuvre du traitement, une analyse d’impact.

En cas de manquements aux dispositions relatives aux analyses d’impacts, le montant des amendes administratives peut s’élever jusqu’à 10 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu, comme fixées à l’article 83(4)(a) du RGPD.

A la suite de cette publication du G29, la CNIL prépare de nouveaux « guides PIA », ainsi qu’un logiciel libre pour aider les professionnels, responsables de traitements ou prestataires sous-traitants, à définir dans quels cas une analyse d’impact est obligatoire et les accompagner dans la réalisation. Pour compléter ces outils, la CNIL indique aussi que des travaux sont prévus pour porter sur la création de deux listes :

  • les traitements de données personnelles qui requièrent de mener un DPIA
  • les traitements de données personnelles qui n’ont pas besoin de faire l’objet d’un DPIA

Enfin, la CNIL prévoit de faire paraître un cadre documenté pour conduire des DPIA sur des objets connectés et une étude de cas d’ici la fin d’année 2017.

Photo de Muriel Féraud-Courtin
Muriel Féraud-Courtin

Muriel Féraud-Courtin, Avocat Associée, a acquis une expérience de plus de 19 ans en droit des affaires et travaille en étroite coopération avec les avocats du réseau international Deloitte Legal. […]

Flambard Guillaume
Guillaume Flambard

Avocat, Directeur, Guillaume Flambard est spécialisé en droit des nouvelles technologies, de l’informatique et de la communication (certificat de spécialisation délivré par le Conseil National des Barreaux). Il accompagne les […]