La loi informatique et libertés impose aux responsables de traitement de prendre « toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données ».
La Cnil a, dans cette optique, publié plusieurs guides à l’attention des responsables de traitement et des fournisseurs afin de les aider à respecter les obligations qui leur sont imposées.
Au mois de juin 2015, un nouveau guide destiné aux entreprises afin de leur exposer les méthodes à mettre en œuvre pour mener des études d’impact sur la vie privée (1).
Cette nouvelle version prenant en compte les apports du futur règlement européen sur la protection des données personnelles est composée de deux parties :
- la démarche méthodologique ;
- l’outillage (modèles et exemples) (2)
L’étude d’impact sur la vie privée repose sur les deux principaux piliers suivants :
- Les principes et droits fondamentaux non négociables, fixés par la loi qui ne peuvent faire l’objet d’aucune modulation quelle que soit la nature des risques encourus.
- La gestion des risques sur la vie privée des personnes concernées permettant de définir les mesures techniques et d’organisation nécessaires pour protéger les données personnelles.
Cette méthode permet aux entreprises d’assurer une prise en compte optimale de la protection des données personnelles dans le cadre de leur activité.
Quelles sont les obligations des responsables de traitement et des fournisseurs ? Pour se conformer à la loi informatique et liberté, il leur est nécessaire de :
- Délimiter et décrire le contexte du traitement considéré et ses enjeux ;
- Identifier les mesures existantes ou prévues pour respecter les exigences légales et traiter les risques sur la vie privée de manière proportionnée ;
- Apprécier les risques sur la vie privée pour vérifier qu’ils sont convenablement traités ;
- Prendre la décision de valider la manière dont il est prévu de respecter les principes de protection de la vie privée et de traiter les risques, ou bien de réviser les étapes précédentes.
Un rapport sur l’étude d’impact devra être rédigé et comporter les parties suivantes :
- Description du périmètre du traitement ;
- Liste des mesures de nature juridique ;
- Liste des mesures destinées à traiter les risques ;
- Cartographie des risques ;
- Décision argumentée de validation du PIA.
On ne peut que recommander de surveiller les évolutions dans le temps et les mises à jour des traitements.
Emmanuel Walle
Lexing Droit Travail numérique
(1) Guide Cnil, Etude d’impact sur la vie privée, juin 2015.
(2) Communiqué Cnil du 2 juillet 2015.