Le GDPR impose de nouvelles obligations, qui n’existaient pas dans la loi « Informatique et libertés », qui portent notamment sur l’importance de la prise en compte de la protection des données personnelles dès la conception d’un traitement (« privacy by design »).
Très concrètement, au moment de la rédaction du cahier des charges, dans une démarche AGILE ou encore dans le cadre d’une optimisation d’une application existante, etc…, il est important de documenter la prise en compte du GDPR. Par exemple, le cahier des charges devra comprendre un chapitre propre à la protection des données personnelles. Cette documentation est indispensable et sera contrôlée par l’autorité de protection des données personnelles, tout défaut à ce titre entraînant une sanction.
Le responsable de traitement doit mettre en œuvre des mesures techniques et organisationnelles conformes au GDPR. Ces mesures sont, par exemple, l’anonymisation des données pour éviter le plus de données personnelles possibles, ou encore, la détermination minimale de données (il faut alors bien préciser, dans le cahier des charges pourquoi telle et telle donnée est nécessaire et s’y limiter). Dans le cadre de la détermination de ces mesures, il convient de tenir compte :
- des connaissances techniques / technologiques au jour de la conception,
- des coûts de mise en œuvre,
- de la nature, de la portée, du contexte et des finalités du traitement,
- le degré de probabilité et de gravité des risques.
Ces points peuvent sembler des évidences, mais désormais, il s’agit d’obligations légales, sanctionnées par l’autorité de protection des données personnelles en cas de contrôle. Il sera donc central de bien documenter et conserver ces documents en cas de contrôle.
Lorsque certains types de traitements / logiciels / applications sont susceptibles d’engendrer un risque élevé pour les personnes au regard du GDPR, il convient d’effectuer, dès la conception, une analyse de l’impact des opérations envisagées par rapport à la protection des données. Concrètement, un risque peut se caractériser quand il y a un grand nombre de données (big data), par le traitement de données sensibles (données de santé par exemple), par des finalités « border-line » (par exemple, faire du profiling en fonction de la religion), ou encore par la revente à des personnes spécifiques (par exemple, à des banques ou l’Etat). En d’autres termes, il est important de se poser la question (et de documenter par écrit le fait de se poser la question) sur les risques au regard du GDPR que pourrait poser un nouveau traitement et ce, dès la conception. La CNIL fournit sur son site web de précieuses indications sur les analyses d’impact. De même, l’EDPB a publié des lignes directrices relatives aux analyses d’impact, ainsi que des lignes directrices relatives aux principes de privacy by design et privacy by default .
Dans le cadre d’une analyse d’impact, il doit être tenu compte de la nature, de la portée, du contexte et des finalités du traitement. Cette analyse contient au moins :
- une description systématique des opérations de traitement envisagées et des finalités du traitement ;
- une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités;
- une évaluation des risques au regard du GDPR; et
- les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du présent règlement, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes affectées.
Il est précisé que « le responsable de traitement demande l’avis des personnes concernées ou de leurs représentants au sujet du traitement prévu ». Ce point doit être conservé à l’esprit notamment lorsque le traitement porte sur des données de catégories de personnes comme les salariés dans une entreprise ou les clients spécifiques d’une société ou encore les actionnaires ou porteurs de stock-options dans un groupe…
Si l’analyse d’impact relève un risque particulier, il faut contacter l’autorité de protection des données personnelles. Si celle-ci estime, à son tour, que le traitement envisagé constituerait une violation du GDPR, elle rend son avis dans un délai maximum de 8 semaines.