RGPD : l’Analyse d’impact sur la vie privée est obligatoire en matière RH

19 décembre 20187 min

Le Règlement (UE) 2016/6791, dit RGPD, en vigueur depuis le 25 mai 2018, a introduit dans son article 35, l’obligation de mener des Analyses d’impact relatives à la protection des données (AIPD) lorsqu’un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques. La Cnil vient de fixer les AIPD obligatoires notamment en matière RH.

Ceci est une légende Alt

Qu’est-ce qu’une AIPD ?

Une AIPD est un processus dont l’objet est de décrire le traitement, d’en évaluer la nécessité ainsi que la proportionnalité et d’aider à gérer les risques pour les droits et libertés des personnes physiques liés au traitement de leurs données à caractère personnel, en les évaluant et en déterminant les mesures nécessaires pour y faire face[1].

Le responsable de traitement doit effectuer une AIPD, préalablement à la mise en œuvre du traitement, lorsque celui-ci est susceptible d’engendrer « un risque élevé pour les droits et libertés des personnes physiques» (art. 35.1 du RGPD ).

Qu’est-ce qu’un risque pour la vie privée ?

Un risque pour la vie privée est un scénario décrivant :

  • un événement redouté (atteinte à la confidentialité, la disponibilité ou l’intégrité des données et ses impacts potentiels sur les droits et libertés des personnes) ;
  • toutes les menaces qui permettraient qu’il survienne.

Ce risque est estimé en termes de gravité et de vraisemblance. La gravité doit être évaluée pour les personnes concernées, et non pour l’organisme.

Une AIPD doit alors obligatoirement être menée :

  • si le traitement envisagé figure dans la liste des types d’opérations de traitement pour lesquelles la Cnil a estimé obligatoire de réaliser une AIPD ;
  • si le traitement remplit au moins deux des neuf critères issus des lignes directrices du G29[2] :
    • évaluation/scoring (y compris le profilage) ;
    • décision automatique avec effet légal ou similaire ;
    • surveillance systématique ;
    • collecte de données sensibles (origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, données génétiques ou de santé, données biométriques et données concernant la vie ou l’orientation sexuelle) ;
    • collecte de données à caractère hautement personnel (données relatives à des communications électroniques, données de localisation, données financières…) ;
    • croisement de données ;
    • collecte de données personnelles à large échelle ;
    • personnes vulnérables (patients, personnes âgées, enfants, salariés…) ;
    • usage innovant (utilisation d’une nouvelle technologie) ;
    • exclusion du bénéfice d’un droit/contrat.

Que doit contenir l’AIPD ?

L’AIPD doit au moins contenir (art. 35.7 du RGPD) :

  • la description systématique des opérations de traitement, des finalités et, le cas échéant, l’intérêt légitime poursuivi par le responsable du traitement ;
  • une évaluation de la nécessité et de la proportionnalité des traitement au regard des finalités ;
  • une évaluation des risques pour les droits et libertés des personnes concernées ;
  • les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel.

La Cnil a proposé divers outils et méthodologies permettant de mener ces AIPD. L’entreprise pourra demander conseil au délégué à la protection des données (DPO), si elle en a désigné un.

À noter que la société pourra devoir adresser à la Cnil son AIPD (art. 36) dans des cas limitativement prévus soit :

  • s’il apparait que le niveau de risque résiduel reste élevé (aux fins de consultation de la Cnil) ;
  • quand la législation de l’État l’exige ;
  • en cas de demande de la Cnil.

Dispenses et obligations

L’on retiendra que l’AIPD ne sera pas exigée pour les traitements qui ont fait l’objet d’une formalité préalable auprès de la Cnil avant le 25 mai 2018, ou qui étaient dispensés de formalité, ou ceux consignés au registre d’un correspondant « informatique et libertés ».

Cette dispense est limitée à une période de 3 ans. À l’issue de ce délai, les responsables de traitement devront avoir effectué une telle étude si le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes.

Une AIPD devra être réalisée dès lors que le traitement présente un risque élevé pour :

  • tout nouveau traitement mis en œuvre après le 25 mai 2018 ;
  • les traitements antérieurs n’ayant pas fait l’objet de formalités préalables auprès de la Cnil ;
  • les traitements, antérieurs au 25 mai et qui ont été dispensés d’étude d’impact en raison de l’accomplissement d’une formalité préalable auprès de la Cnil, mais qui font l’objet d’une modification significative.

Les AIPD relatives aux traitements RH

La réalisation des AIPD sera soumise au recensement préalable des traitements RH effectués par le responsable de traitement. Il sera nécessaire de vérifier si les formalités avaient été correctement réalisées et que les traitements n’ont pas évolué depuis le 25 mai de manière significative.

AIPD - Tableau Traitements en matière de RH

Classiquement l’on recense les traitements RH suivants depuis l’entrée dans les effectifs du salarié jusqu’à sa sortie (liste non exhaustive) :

  • le recrutement des collaborateurs, la gestion de l’intérim et du travail temporaire ;
  • la gestion du personnel, ceci englobant :
  • les données provenant de la médecine du travail et le suivi des accidents du travail, souscription à la mutuelle et la prévoyance de l’entreprise,
  • la paie et des avantages sociaux,
  • la gestion administrative du personnel (dossier professionnel, annuaire interne, organisation de l’agenda et des tâches),
  • l’allocation des ressources (voitures de sociétés, gestion des outils informatiques) et le contrôle de leur utilisation (gestion des infractions routières, contrôle de la charte informatique),
  • la gestion des congés et temps de travail,
  • l’évolution de carrière du salarié, y compris son évaluation et sa formation ;
  • la gestion des alertes professionnelles (loi Sapin II) ;
  • le contrôle d’accès aux locaux, y compris la vidéosurveillance ;
  • la gestion des enregistrements des collaborateurs à des fins de formation ou de contrôle qualité ;
  • la gestion des instances représentatives du personnel, y compris les élections professionnelles.

L’ex G29 a toujours considéré que le salarié était une personne vulnérable[3] comme personne pour laquelle un déséquilibre dans la relation avec le responsable du traitement (son employeur) peut être identifié.

La Cnil a identifié les traitements en matière RH qui nécessitent une AIPD (voir tableau) .

Enfin, si des dispositifs de reconnaissance biométriques sont déployés au sein de l’entreprise ou des actions sociales sont mises en œuvre (assistante sociale au sein de l’entreprise), même si les exemples donnés dans la liste de la Cnil ne couvrent pas des traitements visant des salariés, des AIPD devront être réalisées sur le fondement des critères retenus par la Cnil.

Selon la taille de l’entreprise et son activité, celle-ci- devra mettre en œuvre les AIPD correspondantes en tenant compte des technologies associées.

Les sanctions

L’AIPD vise à assurer la conformité au RGPD et attester des mesures mises en œuvre dans le cadre du principe d’accountability. Ne pas effectuer une AIPD (art. 35, paragraphes 1, 3 et 4), ou le faire de manière incorrecte (art. 35, paragraphes 2 et 7 à 9) est lourdement sanctionné d’une amende administrative pouvant s’élever jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent.

Les entreprises doivent sans plus attendre rajouter dans le cadre de leur plan d’actions de mise en conformité la réalisation des AIPD.


[1] Lignes directrices concernant l’AIPD et la manière de déterminer si le traitement est « susceptible d’engendrer un risque élevé » aux fins du règlement (UE) 2016/679 du G29 WP 248 rev 01
[2] Le G29 réunissait l’ensemble des Cnil européennes. Il a été remplacé par l’EDPB (Comité européen à la protection des données) depuis le RGPD
[3] P 12 WP 248 rev 01 précité.

Caroline Belotti, avocate associée au bureau TGS France Avocats

Caroline Belotti

Avocate associée en charge du bureau TGS France Avocats de Paris.

Les plus lus…

Inscrivez-vous
à notre
newsletter

Recevez toutes les actualités et informations sûreté, incendie et sécurité toutes les semaines.