L'AIPD est aussi requise pour les établissements médico-sociaux

Lorsqu'un type de "traitement est susceptible d'engendrer un risque élevé" pour les droits et libertés des personnes physiques, le responsable du traitement doit effectuer, avant le traitement, une analyse d'impact relative à la protection des données personnelles (AIPD). C'est le cas pour les établissements sanitaires, mais également pour les étatblissements médico-sociaux.

Le Comité européen de la protection des données (CEPD) identifie 9 critères permettant de caractériser "un traitement susceptible d'engendrer un risque élevé" :
– données traitées à grande échelle ;
– données sensibles (origine raciale ou ethnique, opinions politiques, convictions religieuses ouphilosophiques, appartenance syndicale, données génétiques ou de santé, données biométriques et données concernant la vie ou l’orientation sexuelle) ou données à caractère hautement personnel (données relatives à des communications électroniques, données de localisation, données financières, etc.) ;
– données concernant des personnes vulnérables (patients, personnes âgées, enfants, etc.) ;
– croisement ou combinaison de données ;
– évaluation/scoring (y compris le profilage) ;
– prise de décision automatisée avec un effet juridique ou similaire ;
– surveillance systématique de personnes ;
– traitement pouvant exclure du bénéfice d’un droit, d’un service ou d’un contrat ;
– utilisation innovante ou application de nouvelles solutions technologiques ou organisationnelles.

De manière générale, les traitements qui rencontrent au moins 2 des critères" mentionnés par le CEPD doivent faire l'objet d'une analyse d'impact.

En complément des lignes directives adoptées par le Comité européen à la protection des données (CEPD), la CNIL a élaboré ses propres lignes directrices le 11 octobre 2018 (par 2 délibérations du 11 octobre 2018).

Traitements pour lesquels une AIPD est requise (délibération du 11 octobre 2018)
Il s’agit d’une liste non exhaustive de 14 "types d'opérations" et notamment :
• Les traitements de données de santé mis en œuvre par les établissements de santé ou les établissements médico-sociaux pour la prise en charge des personnes ;
• Les traitements ayant pour finalité l'accompagnement social ou médico-social des personnes ;
• Les traitements portant sur les données génétiques de personnes dites "vulnérables", dont les patients et les personnes âgées ;
• Les traitements ayant pour finalité la gestion des alertes et des signalements en matière sociale et sanitaire ;
• Les traitements de données de santé nécessaires à la constitution d'un entrepôt de données ou d'un registre ;
• Les traitements de données biométriques aux fins de reconnaissance des personnes parmi lesquelles figurent des personnes dites « vulnérables ».

 Pour mémoire, le contenu minimal d'une analyse d'impact énoncé par le règlement européen comprend :
- "une description systématique des opérations de traitement envisagées et de ses finalités",
- "une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités",
- "une évaluation des risques pour les droits et libertés des personnes concernées",
- "les mesures envisagées pour faire face aux risques".  

 

Pour des conseils juridiques ou un accompagnement, contactez-nous.

Délibération n° 2018-326 du 11 octobre 2018 portant adoption de lignes directrices sur les analyses d'impact relatives à la protection des données (AIPD) prévues par le règlement général sur la protection des données (RGPD).
Délibération n° 2018-327 du 11 octobre 2018 portant adoption de la liste des types d'opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données est requise.