L’analyse d’impact relative à la protection des données (AIPD) est un processus de protection des données à caractère personnel, qui répond à une logique de conformité et de responsabilité des entreprises. Ce processus particulier a été introduit par le Règlement Général sur la Protection des Données (RGPD).

Cette responsabilisation se fonde sur le principe dit de l’accountability qui désigne l’obligation pour les entreprises de mettre en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer de la conformité des traitements des données à la règlementation et par conséquent, du respect de la vie privée des personnes concernées.

Cette nouvelle règle fait peser de nouvelles obligations sur les responsables de traitements, notamment, la mise en œuvre d’outils de protection des données personnelles dès la conception du traitement de données personnelles (privacy by design).

Le privacy by design consiste en la nécessité de prendre les mesures appropriées pour tenir compte de la protection des données dans les projets, depuis leur origine et de s’assurer de la conformité des produits et services proposés tout au long de leur cycle de vie. L’objectif de l’Analyse d’Impact et du privacy by design est, d’anticiper les risques et les contraintes avant la mise en œuvre effective du traitement.

De façon pratique, l’analyse d’impact est un processus dont l’objet est de décrire le traitement, d’en évaluer la nécessité ainsi que la proportionnalité et d’aider à gérer les risques à la suite d’une évaluation permettant de déterminer les mesures nécessaires pour y faire face.

L’AIPD se décompose ainsi en 04 étapes :

  • Une description du traitement envisagé et des finalités.
  • L’évaluation de la nécessité et de la proportionnalité des opérations au regard des finalités poursuivies.
  • L’étude, de nature plus technique, des risques sur la sécurité des données (confidentialité, intégrité et disponibilité).
  • L’évaluation des impacts potentiels sur la vie privée, qui permet de déterminer les mesures techniques et organisationnelles nécessaires pour protéger les données.

L’AIPD fonde sa base légale sur les dispositions de l’article 35 du RGPD. La loi ivoirienne n°2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel ne fait pas mention d’une étude d’impact sur la vie privée.

Toutefois, dans le cadre de ses missions définies à l’article 47 de ladite loi, l’Autorité de protection ivoirienne, en recommandant de recourir aux normes internationales en la matière pour la mise en œuvre d’un nouveau traitement, a introduit tacitement l’étude d’impact dans les règles de conduite relatives au traitement et à la protection des données à caractère personnel en Côte d’Ivoire.

Au regard de l’article 35 du RGPD, la réalisation d’une étude d’impact n’est obligatoire que lorsque le traitement est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques ».

La notion de « risque élevé » n’est pas clairement définie par le RGPD. Toutefois, la Commission Nationale Informatique et Liberté (CNIL), Autorité de protection française la définie comme « un scénario décrivant un évènement redouté et toutes les menaces qui le rendent possible ».

Le risque est estimé en termes de gravité et de probabilité.

L’Analyse d’Impact est requise, entre autres, dans les cas particuliers qui suivent :

  • La surveillance à grande échelle d’une zone accessible au public.
  • L’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire.
  • Le traitement à grande échelle de catégories particulières de données, ou de données à caractère personnel relatives à des condamnations pénales et à des infractions.

La responsabilité de la mise en œuvre d’une analyse d’impact incombe au responsable du traitement. Dans le cas où un sous-traitant intervient dans le traitement, celui-ci doit apporter son aide et les informations nécessaires à la réalisation de l’AIPD.

Les différents métiers (maîtrise d’ouvrage), les équipes chargées de la mise en œuvre (maîtrise d’œuvre), et la personne chargée de la sécurité des systèmes d’information doivent nécessairement participer au processus de réalisation de l’analyse d’impact et de sa validation.

En Côte d’Ivoire, la protection des données à caractère personnel reste méconnue des organismes publics et privés qui, pour la plupart, traitent des données personnelles susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques.

Par conséquent, nous invitons les acteurs compétents à emboîter le pas au RGPD et intégrer de façon effective l’analyse d’impact sur la vie privée dans le corpus de loi régissant la protection des données à caractère personnel.

Pour toute question relative à la mise en œuvre pratique de l’AIPD et toutes autres préoccupations sur la Protection des données à caractère personnel, vous pouvez contacter Groupe DPSE, cabinet spécialisé dans le management et la protection des données à caractère personnel.

GROUPE DPSE : L’expertise dans la Gestion des données à Caractère Personnel

Tél. : +225 27 22 52 78 78 / 07 77 92 99 67

Mail : contact@groupedpse.com

Réseaux sociaux : FacebookTwitterLinkedInSite internetInstagram

3 réponses

Laisser un commentaire

Participez-vous à la discussion?
N'hésitez pas à contribuer!

Laisser un commentaire