Parmi les obligations issues du Règlement européen sur la protection des données personnelles (RGPD ou GDPR) les plus difficiles à appréhender, l’étude d’impact peut être citée.

Cette étude (appelée aussi PIA ou AIPD) consiste en une analyse juridique et technique, permettant à l’entreprise d’évaluer les risques engendrés par un traitement de données pour les droits et libertés des personnes concernées (ex. clients, consommateurs, locataires, salariés, usagers, résidents et patients).

L’étude d’impact s’avère obligatoire lorsqu’un traitement de données personnelles est susceptible d’engendrer « un risque élevé ». De nombreux traitements peuvent ainsi être concernés et ce quel que soit le secteur d’activité de l’organisation concernée. C’est par exemple le cas en présence de traitements mis en œuvre au sein d’un CHU, d’une clinique ou d’un EPHAD, impliquant la collecte en masse de données sensibles portant sur des personnes dites vulnérables. C’est également le cas pour des traitements consistant en (i) de la publicité ciblée en ligne, ou (ii) de la géolocalisation d’utilisateurs via une application mobile ou encore (iii) l’établissement d’un score pour l’octroi d’un crédit.

Mener une telle analyse peut s’avérer complexe et implique une certaine technicité. A ce titre, nous avons relevé deux décisions instructives rendues par les autorités de contrôle grecque et espagnole. Ces délibérations pointent du doigt les erreurs les plus courantes à ne pas commettre, en condamnant les entreprises concernées à plusieurs dizaines de milliers d’euros d’amende.

1️⃣  L’analyse d’impact ne peut se contenter de réponses « Oui / Non »

Dans une première affaire instruite par l’autorité hellénique de protection des données (1), l’opérateur téléphonique grec historique a été victime de vol de données.

Sur l’attaque en elle-même, la décision révèle que le pirate a obtenu le mot de passe d’un salarié grâce à une fuite de données du réseau social LinkedIn. Il a ensuite réussi à obtenir un accès administratif à une base dont il a pu extraire près de 60 Go de données sur les communications des abonnées : données d’appels, données de trafic, données sur le terminal, données financières d’abonnés, etc. Ces actes ont mis en lumière l’existence d’une base de données de grande ampleur (plus de 10 millions d’abonnés) gérée conjointement par une filiale et la société-mère de l’opérateur. Les sociétés tentèrent en vain de justifier ce traitement par la nécessité de gérer les pannes.

L’autorité de contrôle a infligé à la société-mère (OTE) une amende s’élevant à 3 250 000 euros pour n’avoir pas mis en œuvre des mesures de sécurité suffisantes pour la protection de la base de données.

Quant à la filiale (COSMOTE), cette dernière a été condamnée à une amende de 6 000 000 d’euros du fait de nombreux manquements à la règlementation (défaut de respect des principes de licéité et de transparence, anonymisation des données insuffisante, mesures de sécurité insuffisantes, absence de répartition claire des responsabilités entre la filiale et sa société-mère). Parmi les manquements constatés, figure une analyse d’impact jugée insuffisante. Nous ne connaissons cependant pas la quote-part de l’amende associée à ce manquement précis.

S’agissant de l’insuffisance de l’analyse d’impact, l’autorité a relevé que celle-ci contenait des réponses lapidaires et était peu documentée.

Un seul exemple, particulièrement illustratif, est cité dans la délibération : à la question « Est-il possible d’atteindre la finalité sans réaliser le traitement de données personnelles ? », il avait été répondu « Non, il n’est pas possible de répondre aux demandes des abonnés relatives aux pannes sans traiter les données en question ».

Or, cette question à pour objectif de vérifier si le principe de minimisation des données est respecté. Selon ce principe, seules les données personnelles strictement nécessaires peuvent être traitées.  Cette même question impose également aux entreprises de s’interroger sur la possibilité d’atteindre leur objectif sans traiter de données personnelles. Dans certains cas, il sera par exemple possible d’utiliser plutôt des données anonymes (notamment lorsque l’objectif est de réaliser des statistiques). Ainsi, si des données personnelles sont traitées alors que des données anonymes suffisent, le traitement est illégal.

En conséquence, la filiale COSMOTE aurait dû s’interroger sur la nécessité de chaque donnée collectée et justifier ces choix dans le PIA.

2️⃣  L’analyse d’impact doit porter sur l’ensemble des risques du traitement et être réalisée avant le début du traitement

Dans cette affaire instruite par l’autorité de contrôle espagnole (2), la chaîne de supermarchés Mercadona avait mis en place un dispositif de reconnaissance faciale permettant (grâce à l’analyse des images de vidéosurveillance) l’identification des personnes déjà condamnées pour des infractions commises dans ses supermarchés (vols, menaces ou agression de salariés ou clients, etc.).

L’autorité espagnole a infligé à Mercadona une amende de 3 150 000 euros. La délibération prend soin de détailler les montants dus au titre des différents manquements. La somme la plus importante sanctionne, sans surprise, sur le traitement illicite de données relatives à des infractions (2 000 000 euros).

Néanmoins, on relève que l’entreprise est condamnée à hauteur de 50 000 euros pour deux manquements relatifs à l’obligation de réaliser une analyse d’impact.

D’une part, l’analyse s’avère incomplète, puisqu’elle ne tient pas compte des nombreux risques engendrés par ce type de traitements. Les risques suivants auraient dû y figurer/être identifiés :

• Le risque de discrimination, d’exclusion sociale ;
• Le risque de manquement au principe d’exactitude, en raison d’un fort taux d’erreur du logiciel ;
• Le risque de stigmatisation des personnes concernées ;
• Le risque de conséquences négatives pour des populations vulnérables ;
• Le risque de restriction de liberté des salariés ;
• Le risque d’atteinte à la vie privée et à l’intimité ;
• La reconnaissance faciale était réalisée sans consentement des personnes et impliquait le traitement d’une très grande quantité de données personnelles.

Or, une analyse d’impact consiste à identifier des risques pour ensuite définir des mesures destinées à y remédier. Tout oubli peut donc affecter l’analyse dans son ensemble et la priver d’utilité.

D’autre part, l’analyse d’impact n’avait pas été réalisée avant le début du traitement des données personnelles. Or, l’article 35 du RGPD impose expressément l’obligation de réaliser l’analyse en amont. Une exigence inscrite dans la loi afin d’éviter la création de traitements qu’il s’avérerait ensuite difficile de mettre en conformité avec le RGPD.

La réalisation d’une étude d’impact contribue par là même à respecter le principe de « protection de la vie privée dès la conception ». Ce dernier impose aux entreprises d’intégrer la problématique de la protection des données personnelles dès les premières phases d’un projet.

Ainsi, pour avoir développé son projet sans prendre suffisamment en compte le droit de la protection des données personnelles, la société MERCADONA est sanctionnée à hauteur de 500 000 euros pour violation du principe de protection de la vie privée dès la conception. Une sanction spécifique qui ne peut qu’inciter les entreprises à modifier leur approche des projets informatiques.

Ces décisions rappellent la nécessité d’effectuer les analyses d’impact avec soin puisqu’en cas de négligence, l’organisation s’expose, comme en l’espèce, à des contrôles et des sanctions.

Le cabinet Solegal met à votre disposition son expertise en matière de protection des données personnelles.

Solegal AARPI – Mai 2022

Betty SFEZ – Avocat associé et DPO externe

Antoine Tsékenis – Avocat