Protection des données personnelles (RGPD) : avant de traiter certaines données, une analyse d'impact est à faire

Qu'il s'agisse de la création d'un fichier concernant vos salariés, vos clients, vos prospects... vous devez au préalable réaliser une « analyse d'impact » (atteinte à la vie privée, vol, destruction ou accès non autorisé aux données). L'objectif, défini par la loi, est de mieux protéger les droits et libertés des personnes.
11:0021/03/2018
Rédigé par FFB Nationale

Le contenu est réservé à nos adhérents. Pour le consulter

se connecter
revue
Retrouvez ce dossier dans notre revue Batiment Actualité
Batiment Actualité Numéro 5 | Mars 2018
Voir ce numéro >

Qu'est-ce qu'une analyse d'impact ?

Réalisé par l'entreprise avant la création du fichier de données, ce document indique les risques prévisibles du traitement envisagé pour les droits et libertés des personnes physiques (atteinte au droit à la vie privée, vol, destruction, altération ou accès non autorisé aux données traitées...) et les mesures prises pour les réduire.

 

Que doit contenir une analyse d'impact ?

Cette analyse doit contenir :

  • une description des opérations de traitement envisagées et des objectifs poursuivis (lutte contre la fraude, protection des biens, des personnes et des locaux, prospection commerciale...) ;
  • une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des objectifs poursuivis ;
  • une évaluation des risques pour les droits et libertés des personnes concernées ;
  • les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité mis en place.

Dans quels cas faut-il faire une analyse d'impact ?

Il existe neuf critères permettant de déterminer si oui ou non une analyse d'impact doit être réalisée 1.

Si au moins deux de ces neuf critères sont réunis, il faudra faire une analyse d'impact.


Les neuf critères d’analyse d’impact

Dans quels cas n'est-il pas nécessaire de faire une analyse d'impact ?

  • Lorsque le traitement figure dans la liste d'exemptions de la CNIL (à venir) ;
  • lorsque le traitement envisagé ne réunit pas au moins deux des neuf critères évoqués ci-dessus ;
  • lorsque le traitement est très similaire à un autre ayant déjà fait l'objet d'une analyse d'impact ;
  • lorsque le traitement est réalisé en vertu d'une obligation légale ;
  • lorsque le traitement a déjà été soumis à la CNIL (déclaration ou demande d'autorisation) et n'a pas changé depuis dans ses modalités d'exécution.

Pensez à déclarer vos traitements actuels à la CNIL, avant le 25 mai 2.

Qui doit faire l'analyse d'impact ?

Vous n'êtes pas obligé de la faire vous-même. Vous pouvez la confier à un tiers (avocats, experts en informatique, experts en sécurité...).

Si vous avez désigné un délégué à la protection des données (DPO), il peut vous orienter. Ses conseils figureront dans l'analyse.


Si vos traitements sont réalisés, en tout ou partie, par un prestataire (prestataires de services informatiques tels que l'hébergement ou la maintenance, intégrateurs de logiciels, sociétés de sécurité informatique, agences de marketing ou de communication...), celui-ci doit vous aider à réaliser l'analyse.
Vous devez demander l'avis des personnes concernées par le traitement ou de leurs représentants (institutions représentatives du personnel).
Cette consultation peut se faire par tout moyen (questionnaire, étude, enquête...).
Si vous ne procédez pas à la consultation (pour des raisons de confidentialité ou de sécurité, par exemple) ou si vous ne suivez pas l'avis des personnes consultées, vous devez le justifier.


Des outils ou modèles d'analyse d'impact sont-ils disponibles ?

Oui. La CNIL a élaboré un logiciel, intitulé PIA.

Il est disponible sur : www.cnil.fr
tapez dans le moteur de recherche : « logiciel PIA ».

Que faire si l'analyse d'impact conclut à un risque élevé pour les droits des personnes ?

Il vous faudra consulter la CNIL et lui transmettre un dossier comprenant :

  • l'analyse d'impact réalisée ;
  • les différents acteurs du traitement envisagé (votre entreprise et vos prestataires) ;
  • les finalités et moyens du traitement envisagé ;
  • les mesures et garanties prévues afin de protéger les droits et libertés des personnes concernées ;
  • s'il en a été nommé un, les coordonnées du DPO 3.

Le logiciel PIA devrait permettre de fournir l'essentiel du contenu demandé.

La CNIL aura huit semaines pour répondre à cette consultation (ce délai peut être prolongé de six semaines).
À l'issue du délai, elle rend un avis écrit et peut user des pouvoirs lui étant reconnus par le RGPD (interdiction, injonction).

Qu'en pense la FFB ?

Si une réforme du cadre juridique était nécessaire face à l'émergence des réseaux sociaux et autres géants du Web, la FFB regrette que le législateur européen ait adopté un texte aussi complexe et surtout déconnecté de la réalité des entreprises, en particulier celles de taille modeste.

L'action de la FFB, au cours des prochaines semaines ou mois, va donc s'axer sur :

  • l'accompagnement des adhérents dans leurs démarches de mise en conformité ;
  • la recherche, aux côtés des pouvoirs publics français, d'outils et de solutions visant à simplifier autant que possible la tâche des entreprises. La CNIL a déjà confirmé à la FFB que des modèles et fiches pratiques dédiées au PME/TPE seraient disponibles d'ici à la fin du mois.

Mise en conformité RGPD

Des tentatives d'escroquerie sont en cours !

LA CNIL ALERTE
Les entreprises sur des messages par mail, fax et téléphone les invitant à se mettre en conformité avec le règlement général sur la protection des données (RGPD).


Il s'agit d'une arnaque visant à inciter les destinataires à rappeler un numéro surtaxé et/ou à leur faire signer un engagement frauduleux.


N'Y RÉPONDEZ PAS !


En cas de doute, vous pouvez contacter votre fédération ou la CNIL au 01 53 73 22 22.

Face à la complexité du RGPD, la CNIL a confirmé à la FFB qu’elle préparait une liste de traitements pour lesquels vous n’aurez en principe pas besoin de réaliser d’analyse d’impact.À suivre donc.

Pour toute question complémentaire,contactez votre fédération !

  1. www.cnil.fr > Règlement européen> Se préparer au règlement> Le DPIA.
  2. www.cnil.fr > Mes démarches.
  3. Délégué à la protection des données personnelles

Contenu réservé aux adhérents FFB

  • Profitez aussi de conseils et de soutien

    Des services de qualité, de proximité, avec des experts du Bâtiment qui connaissent vos enjeux métier et vous accompagnent dans votre quotidien d'entrepreneur.

  • Intégrez un réseau de 50 000 entreprises

    La FFB est fière de représenter toutes les entreprises du bâtiment, les 2/3 de nos adhérent(e)s sont des entreprises artisanales.

  • Bénéficiez des dernières informations

    Recevez Bâtiment actualité 2 fois par mois pour anticiper et formez-vous aux évolutions des métiers ou de la législation.

Pour contacter facilement votre fédération et accéder aux prochaines réunions
Se connecter
Vous n'êtes pas adhérent et vous cherchez une information ?
Nous contacter