1 L’AIPD
-
1.1 Pourquoi une AIPD ?
Vos traitements de données peuvent présenter un risque plus ou moins important pour les droits et libertés des personnes concernées. Il peut s’agir de dossiers ou de documents pour lesquels aucune mesure de sécurité n’a été prévue. Parce que c’est loin d’être rare, les auteurs du RGPD ont imaginé une méthode d’analyse, l’AIPD. Cet outil doit notamment vous permettre de vous assurer qu’aucun de vos traitements ne contient de risque démesuré et que vous avez les moyens d’y faire face.
Cette analyse n’est pas une simple formalité puisqu’elle doit permettre d’analyser tout traitement de données susceptible de connaître des failles et d’engendrer un risque important pour la protection de la vie privée des personnes. Ce faisant, elle vous permet d’agir en respectant le RGPD, règlement européen qui, rappelons-le, s’impose à toute organisation utilisant les données personnelles d’un citoyen de l’Union européenne.
Au passage, du fait de la publicité faite autour du RGPD dans les médias « grand public », respecter ce règlement permettra à votre organisation de rassurer ses clients (personnes physiques). En effet, de votre propre initiative, vous analysez vos modes de fonctionnement et mettez en œuvre des mesures adéquates afin de protéger au mieux la vie privée des personnes concernées !
Au final, les analyses d’impact prévues par le RGPD vous permettent de démontrer que, de la mise en place du traitement jusqu’à l’utilisation des données en passant par leur conservation ou leur suppression, vous êtes soucieux de la vie privée des personnes et mettez en œuvre les mesures de protection nécessaires. C’est on ne peut plus concret puisque vous allez chercher dans vos traitements les fragilités et autres failles existantes pour les réduire ou les supprimer. Vous envisagerez toutes les facettes des « problèmes » mis en lumière avec toutes les compétences internes, et ce pour aboutir à une gestion sécurisée des données à tous les niveaux du traitement.
Le RGPD, parce qu’il se veut un outil concret au service des entreprises et des personnes physiques, pose un principe, celui du « privacy by design ». En bon français, cela signifie que c’est au moment de la création d’un traitement, par exemple, que le responsable du traitement et son équipe doivent s’interroger sur les risques pesant sur les données collectées et donc envisager les mesures à mettre en œuvre pour les protéger en fonction de ces risques.
La logique est la suivante : vous avez une idée de traitement à mettre en place ; avant de commencer à collecter des données, vous vérifiez que vous avez le droit de le faire (cf. l’article « Évaluer la conformité de son organisation au RGPD ») et que vous pouvez le faire en toute sécurité.
Exemple : imaginez Raphaëlle, potentielle bénéficiaire d’une aide à la personne distribuée par son Conseil départemental. Pour le montage de son dossier, elle a fourni des informations sur ses revenus imposables. Elle sera satisfaite de savoir que vous, responsable du traitement des données personnelles pour ces dossiers, vous vous posez les bonnes questions afin de protéger au mieux sa vie privée. Et le RGPD sera respecté !
L’AIPD doit absolument être réalisée avant que le traitement commence.