Dans un communiqué en date du 17 décembre, la CNDP (Commission nationale de contrôle de la protection des données à caractère personnel) annonce la publication, “dans le cadre de ses travaux en cours visant le déploiement d’une culture modernisée de la protection des données à caractère personnel”, d’une délibération (n°D-188-2020) régissant l’analyse d’impact relative à la protection des données (AIPD).  

“Cette délibération édicte les principes à respecter pour l’évaluation des risques attentatoires à la vie privée et à la protection des données à caractère personnel susceptibles d’avoir lieu suite à un traitement donné”, lit-on dans le document publié par la CNDP. 

Cette dernière définit l’étude d’analyse d’impact relative à la protection des données (AIPD) comme "un outil d’analyse des risques sur la vie privée", précisant que "le principe de proportionnalité y est décliné selon les contextes opérationnels et les exigences de respect de la vie privée, approuvés par l’autorité de contrôle, le risque zéro n’existant pas".

En cas de traitement sensible, l'AIPD doit être validée en amont

La commission vise à “promouvoir le principe de responsabilisation des entités concernées, afin de les accompagner dans leur démarche d’identification et d’évaluation des situations susceptibles de présenter le plus de risques pour les droits et libertés des personnes concernées”. 

Dans ce sens, la CNDP souligne que c’est au responsable de traitement que revient la mission d’établir l’analyse d’impact relative à la protection des données. Il doit la présenter, en cas de contrôle, à l’autorité en charge de la protection des données à caractère personnel. 

Et lorsqu’il s’agit de traitements sensibles, le responsable de traitement ne doit pas attendre un contrôle pour la présenter, il doit la soumettre pour validation, “préalablement à ces traitements sensibles”.

Anticipant les potentielles évolutions réglementaires, la CNDP vise à promouvoir “le principe des analyses de risques dans le domaine de la protection de la vie privée”. C’est pourquoi, elle encourage “les sous-traitants à formaliser des analyses d’impact relative à la protection des données (AIPD) afin de simplifier les dossiers de conformité à la loi 09-08 de leurs clients. Ces AIPD seraient référencées auprès de la Commission, sans être considérées comme constituant une quelconque autorisation de mise en œuvre puisque le client final, reste à ce stade, entièrement responsable de l’intégration du dispositif du sous-traitant dans son écosystème”. 

 La liste des traitements concernés par les AIPD est évolutive

En vue de mieux expliquer les mesures prises pour la protection des données à caractère personnel aux personnes concernées et de faciliter leurs échanges avec la CNDP, celle-ci incite les responsables de traitement à mettre en place des AIPD, dans le cas des traitements présumés comporter un risque d’atteinte à la protection de la vie privée et des données à caractère personnel qui s’inscrivent dans l’une ou plusieurs catégories listées par la CNDP. 

Cette dernière précise, par ailleurs, que ces listes “sont évolutives et seront régulièrement mises à jour, selon son appréciation des risques que peuvent présenter certaines opérations”.

Les catégories énumérées par la CNDP dans sa délibération n°D-188-2020 sont: “les traitements qui contreviennent au respect des dispositions de l’article 11 de la loi 09- 08, relatif à la neutralité des effets et qui permettent de prendre des décisions sur le fondement d’un traitement automatisé de données à caractère personnel, ainsi que les traitements à grande échelle de données sensibles qui, en vertu de l’article premier de la loi 09-08, révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale de la personne concernée ou qui sont relatives à sa santé y compris ses données génétiques. 

Aussi, les traitements qui permettent une surveillance systématique des personnes concernées et ceux effectués dans le cadre de l’utilisation de solutions technologiques ou organisationnelles innovantes. 

Cette liste s’étend également aux traitements exécutés dans le cadre du respect d’une obligation légale à laquelle est soumis le responsable du traitement et dans le cadre de l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement. Sans oublier les traitements réalisés sur le fondement d’une base juridique qui les réglemente.