Loading…
Une analyse d'impact relative à la protection des données (DPIA) au titre de l'Article 35 du RGPD est requise dès lors qu'un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques. Le Groupe de travail Article 29 (désormais l'EDPB) a établi neuf critères — lorsque deux ou plus s'appliquent, réalisez un DPIA.
Un DPIA défendable comporte cinq étapes : décrire le traitement, évaluer la nécessité et la proportionnalité, identifier les risques, identifier les mesures d'atténuation, puis valider formellement et planifier une révision. La méthodologie de l'ICO et les Lignes directrices de l'EDPB s'alignent étroitement sur cette structure.
Bien menée, un DPIA est un artefact qui façonne le produit — et non un rituel de conformité. Elle fait remonter le risque tôt et impose des choix en matière de minimisation des données, de conservation et d'accès. Les meilleurs DPIA sont réalisés avant la première ligne de code.
L'Article 35(1) exige un DPIA lorsqu'un traitement est « susceptible d'engendrer un risque élevé ». L'Article 35(3) énumère trois cas obligatoires :
La plupart des autorités de contrôle publient des listes nationales (Article 35(4)) de traitements supplémentaires qui nécessitent toujours un DPIA. Consultez les listes de votre autorité chef de file et de toute autorité dont vous traitez les données de résidents de l'État membre.
En cas d'incertitude, appliquez le test des neuf critères. Deux critères ou plus = DPIA requis.
Le fondement de toute AIPD est une description précise de ce que vous faites réellement avec les données. À recenser :
Associez cela à un schéma des flux de données. Les descriptions en texte libre laissent passer des éléments que les schémas de flux de données détectent.
Pour chaque risque identifiable, documentez :
Types de menaces à couvrir systématiquement : accès non autorisé (interne, attaquant externe), modification (perte d'intégrité), perte (destruction, indisponibilité), discrimination, usurpation d'identité, perte financière, atteinte à la réputation, perte de confidentialité, perte de contrôle sur les données, ré-identification de données pseudonymisées.
Pour chaque risque, identifiez le traitement prévu :
Réévaluez le risque résiduel après les mesures prévues. Si le risque résiduel demeure élevé, vous devez consulter l'autorité de contrôle avant le début du traitement (Article 36).
La consultation préalable au titre de l'Article 36 est requise lorsque, après application des mesures d'atténuation, le risque résiduel pour les droits et libertés demeure élevé.
L'autorité de contrôle reçoit :
Délai de réponse de l'autorité de contrôle : 8 semaines (prolongeable de 6 semaines pour les cas complexes). Le traitement ne peut commencer pendant cette période sans autorisation.
Scénario : Une entreprise de logistique prévoit d'introduire un pointage d'entrée/sortie par reconnaissance faciale pour 4 500 opérateurs d'entrepôt répartis sur 12 sites en Allemagne et en Espagne.
Test de seuil : Données sensibles (données biométriques à des fins d'identification au titre de l'Article 9) + grande échelle + personnes vulnérables (salariés) + usage innovant = relève clairement de l'AIPD. Les listes des autorités de contrôle allemande et espagnole mentionnent également l'identification biométrique sur le lieu de travail comme AIPD obligatoire.
Description (Étape 1) : Gabarits faciaux dérivés d'une caméra frontale à l'entrée du site ; comparés à un gabarit enregistré stocké sur un appareil propre à chaque site ; correspondances journalisées avec horodatage et identifiant du salarié ; gabarits biométriques conservés pendant la durée de l'emploi + 30 jours ; journaux de correspondance conservés 3 ans.
Nécessité (Étape 2) : Base légale Article 6(1)(b) contrat de travail + 9(2)(b) obligation de droit du travail (Allemagne) et consentement explicite (Espagne, avec codétermination du comité d'entreprise). Alternatives envisagées : badgeage par carte à code PIN (rejeté — pointage frauduleux), badge NFC (rejeté — idem), empreinte digitale (rejeté — hygiène). Nécessité justifiée des gabarits faciaux par rapport aux alternatives.
Risques (Étape 3) : (a) La centralisation des gabarits biométriques crée une cible de choix en cas de violation. (b) Faux rejet entraînant une retenue sur salaire. (c) Dérive fonctionnelle — données de pointage utilisées pour l'évaluation de la performance. (d) Coercition du salarié : le refus de la collecte biométrique force un retrait conduisant à des conditions moins favorables.
Traitement (Étape 4) : (a) Appareil sur site, propre à chaque site ; gabarits chiffrés avec des clés gérées par HSM ; aucune copie cloud. (b) Procédure de dérogation manuelle en cas de non-correspondance ; la paie ne peut effectuer de retenue sur le seul fondement d'un échec de pointage. (c) Interdiction contractuelle + séparation technique entre les données de pointage et les systèmes RH de performance. (d) Voie de retrait réelle (badge en repli) sans préjudice, documentée dans l'accord du comité d'entreprise.
Validation : Avis du DPO obtenu — suppression des gabarits faciaux recommandée 7 jours après la fin de l'emploi au lieu de 30. Le responsable du traitement a accepté. Codétermination du comité d'entreprise obtenue. Risque résiduel : moyen-faible. Aucune consultation de l'autorité de contrôle requise.
Une AIPD ciblée sur une seule activité de traitement : 2 à 4 semaines d'effort à temps partiel, en temps calendaire. Une AIPD complexe (nouvelle gamme de produits, biométrie, modèle d'IA) : 6 à 12 semaines. Tout ce qui est annoncé comme « 2 heures » n'est pas une véritable AIPD.
Oui — pour un traitement déjà en cours, la révision prévue à l'Article 35(11) s'applique. Les autorités de contrôle acceptent les AIPD rétroactives lorsque le traitement précédait le GDPR ou lorsqu'un traitement auparavant exempté d'AIPD est devenu à risque élevé.
L'AIPD (Article 35 GDPR) se concentre sur les risques pour les droits et libertés dans le contexte du traitement des données. La FRIA (Article 27 du règlement européen sur l'IA) s'étend à des droits fondamentaux plus larges pour les systèmes d'IA à haut risque — discrimination, équité, impact des décisions automatisées. Elles se recoupent et peuvent être combinées en un seul artefact pour les cas d'usage d'IA.
Non exigé, mais recommandé par l'ICO. Publier une synthèse caviardée est un signal de confiance fort. Les détails techniques ou commerciaux sensibles peuvent être omis ; la substance — finalité, base légale, risques, mesures d'atténuation — est publiable.
L'autorité de contrôle dispose de 8 semaines pour rendre un avis écrit, prolongeable de 6 semaines pour les cas complexes. Elle ne peut pas opposer un veto pur et simple mais peut émettre des mesures correctrices au titre de l'Article 58, y compris des interdictions de traitement. Planifiez en conséquence — les cas relevant de l'Article 36 nécessitent un délai de 3 mois avant le lancement.
RegulatoryBridge réalise des AIPD complètes — test de seuil, consultation des parties prenantes, dialogue avec l'autorité de contrôle au titre de l'Article 36 lorsque nécessaire. Artefact prêt pour la production, défendable en audit.