RGPD, gouvernance des données personnelles et analyse d’impact

IweinsAnne Renard évoque pour Les Echos la gouvernance des données et l’analyse d’impact dans le cadre du RGPD.

Delphine Iweins, journaliste aux Echos, revient dans un article publié sur le site Les Echos.fr le 17 janvier 2019, sur l’analyse d’impact issue du Règlement européen de protection des données personnelles (RGPD).

Nul besoin de rappeler que le RGPD est une réforme majeure qui impacte en profondeur l’environnement digital des entreprises, même si force est de constater qu’au 25 mai dernier, la prise de conscience de toutes les implications, notamment juridiques et opérationnelles, des changements induits par ce règlement n’était pas, loin s’en faut, générale au sein des entreprises et organisations.

L’enjeu du RGPD : la continuité de la protection au-delà du 25 mai 2018

Il s’agit de l’enjeu de taille qui s’ajoute à la mise en conformité au RGPD qui était attendue à cette date.

En effet, la question de la réalisation d’analyses d’impact est aujourd’hui au centre de toutes les attentions, même si la Cnil a, dès février 2018, décidé de dispenser pour une periode limitée de 3 ans les entreprises de l’obligation de réaliser une telle analyse pour les traitements existants et régulièrement mis en œuvre (à l’issue de ce délai, les responsables de traitement devront toutefois avoir effectué une telle étude si le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes).

RGPD : étude d’impact et traitement à risque

En revanche, l’étude d’impact doit être réalisée, sans attendre l’issue de ce délai de trois ans, dans tous les autres cas, dès lors que le traitement présente un risque élevé.

Comme l’explique Deplhine Iweins, l’analyse d’impact « aide à construire des traitements de données respectueux de la vie privée ». Et de rappeler que celle-ci se réalise en deux temps : « Il faut d’abord s’assurer que le traitement est bien conforme au RGPD. L’étape suivante est d’évaluer le risque de ce traitement pour les droits et les libertés des personnes ».

« Il faut ensuite identifier les mesures à mettre en oeuvre pour réduire les risques du traitement », complète Anne Renard, qui dirige le département Conformité et certification du cabinet Lexing Alain Bensoussan Avocats.

Pour aider les entreprises, la Cnil a établi en novembre dernier une liste des types d’opérations de traitement pour lesquelles une analyse d’impact est requise. « La Cnil a une vraie démarche d’accompagnement des entreprises dans la mise en conformité », estime Anne Renard.

Gouvernance des données personnelles et analyse d’impact dans le cadre du RGPD

De son côté, l’Académie des sciences techniques comptables financières a rendu public début décembre 2018 un livre blanc « Gouvernance des données personnelles et analyse d’impact dans le cadre du RGPD », avec un cas pratique d’utilisation du logiciel de la Cnil, auquel ont notamment participé le cabinet Lexing Alain Bensoussan Avocats et l’Association des Délégués à la Protection des Données, créée par Alain Bensoussan et dont la vice-présidente Héléne Legras, DPO du Groupe Orano, est également intérrogée par Delphine Iweins dans son article.

Un Livre blanc qui a donné lieu à une conférence qui s’est tenue au cabinet le 5 décembre dernier. L’occasion de montrer qu’au-delà du seul RGPD, l’analyse de risques et l’analyse d’impact relative à la protection des données sont primordiales pour les organismes concernés qui ont tout intérêt à démontrer que leur écosystème respecte ce nouveau cadre juridique. Les intervenants s’attacheront à préciser le cadre juridique de l’analyse de risques et de l’analyse d’impact, quand une analyse d’impact est obligatoire, comment conduire une analyse d’impact.

Eric Bonnet
Avocat, Lexing Alain Bensoussan Avocats
Directeur de la communication juridique

Delphine Iweins, « RGPD, mode d’emploi de l’analyse d’impact », Les Echos.fr le 17 janvier 2019.