Notre chroniqueur Eric Barbry analyse la prochaine deadline juridique importante pour les entreprises. Le 24 mai 2021 à minuit, le délai de 3 ans laissé aux organisations pour faire leurs PIA arrive à son terme. Et ceux qui le dépasseront seront en infraction avec le RGPD.

Vous allez penser que je fais une fixette sur le RGPD. Vous avez tort, c’est le RGPD qui fait une fixette sur vous ! Dans mon premier billet de l’année je vous annonçais un millésime, une année exceptionnelle pour nous les juristes de l’IT.

A lire aussi : [Chronique] J-30 pour les cookies

Après l’échéance du 1^er avril concernant les cookies, dont je vois avec tristesse qu’elle a échappé à beaucoup et que pour les autres, elle pose plus de questions qu’elle n’apporte de réponses… voici déjà arriver la prochaine échéance.

Qu’est-ce qu’un PIA ?

24 mai 2021, minuit : à cette échéance, tous ceux qui doivent mettre en œuvre des analyses d’impact (souvent appelées PIA Privacy impact analysis) devront pouvoir en justifier en cas de contrôle Cnil.

Un petit rappel. Pourquoi cette date ? Lors de l’entrée en vigueur du RGPD, la Cnil a accordé aux entreprises qui avaient déjà un traitement soumis à PIA avant l’entrée en vigueur du RGPD, 3 ans pour faire ces PIA. Je rappelle que pour les traitements postérieurs au 25 mai 2018, il n’existe pas de délai de grâce… donc si vous n’avez pas de PIA, vous êtes en infraction par rapport au RGPD. Qu’est-ce qu’un PIA ?  Contrairement à ce que vendent les consultants en sécurité, avec tout le respect que je leur dois pour travailler avec nombre d’entre eux, un PIA n’est pas un audit de sécurité.

Pour s’en convaincre il suffit de lire le RGPD qui fixe le contenu d’un PIA : L’analyse contient au moins :

1. a) une description systématique des opérations de traitement envisagées et des finalités du traitement, y compris, le cas échéant, l’intérêt légitime poursuivi par le responsable du traitement ;
2. b) une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités ;
3. c) une évaluation des risques pour les droits et libertés des personnes concernées conformément au paragraphe 1 ; et
4. d) les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du présent règlement, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes affectées.

CQFD seul le point d) vise en partie les mesures de sécurité.

La question qui devrait vous angoisser

En réalité, un PIA vise à démontrer pour un traitement en particulier que ces traitements respectent 100% du RGPD. Le PIA comporte une partie relative à la sécurité mais elle n’est pas l’essentiel d’un PIA  qui doit traiter de toutes les questions : type de données, finalités, minimisation, fondement juridique, durée, droit des personnes, etc.

Mais la question qui devrait vous angoisser est : suis-je soumis à un PIA ?

Pour cela 3 vérifications s’imposent :

• Etes-vous dans la liste des traitements de l’article 35 :
• Cas 1 – évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire ;
• Cas 2 – traitement à grande échelle de catégories particulières de données visées à l’article 9, paragraphe 1, ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10 ;
• Cas 3 – surveillance systématique à grande échelle d’une zone accessible au public.
• Si non, êtes-vous sur la liste des traitements définis par la Cnil ?

Pour mémoire principalement :

• Cas 1 – Le monde de la santé
• Cas 2 – Les EHPAD
• Cas 3 – Le logement social
• Cas 4 – Les transports en commun
• Cas 5 – Les RH dans beaucoup de cas (haut potentiel, recrutement et IA, alertes professionnelles, data loss prevention, etc ….)
• Si vous ne faites pas partie de cette liste, alors il vous reviendra de vous poser une dernière question : votre traitement met-il en œuvre au moins 2 des 9 critères définis par le CEPD à savoir :
  • évaluation/scoring (y compris le profilage) ;
  • décision automatique avec effet légal ou similaire ;
  • surveillance systématique ;
  • collecte de données sensibles ou données à caractère hautement personnel ;
  • collecte de données personnelles à large échelle ;
  • croisement de données ;
  • personnes vulnérables (patients, personnes âgées, enfants, etc.) ;
  • usage innovant (utilisation d’une nouvelle technologie) ;
  • exclusion du bénéfice d’un droit/contrat.

Je rappelle pour les plus optimistes d’entre vous que parmi les personnes vulnérables, la Cnil range les « employés » publics ou privés, raison pour laquelle nos amis RH sont en première ligne. Vous voici donc prévenus…. Il ne vous reste que quelques semaines.

A vos PIA… prêts… partez !