L’article 35 du nouveau règlement sur la protection des données qui entrera en vigueur en mai 2018 (RGPD) dispose que lorsqu’un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement doit effectuer une analyse de l’impact sur la protection des données à caractère personnel. Votre association est-elle concernée et que doit-on savoir de cette analyse?
Qu’est-ce qu’une analyse d’impact relative à la protection des données ?
L’analyse d’impact permettra à votre association (si elle est concernée, voir ci-dessous) de démontrer que vous êtes en conformité avec le RGPD. Celle ci consiste en une étude d’un traitement que vous faites de données. Dans cette étude, vous devrez analyser tous les aspects du RGPD, tels que les caractéristiques du traitement, sa nécessité, sa proportionnalité vis à vis de la finalité envisagée et ses risques (qui a accès aux données? qui peut modifier les données? etc…. ). L’étude devra également couvrir les droits accordés par le RGPD, tels que droits des personnes et durée de conservation. Cette étude devra donc vous permettre d’évaluer tous les risques pour les droits et libertés des personnes et ainsi déterminer quelles mesures doivent être adoptées pour y faire face.
Une analyse contient donc les informations suivantes:
- une description des opérations de traitement envisagées et les finalités
- une évaluation de la nécessité et de la proportionnalité
- une évaluation des risques sur les droits et libertés des personnes concernées et ;
- les mesures envisagées pour faire face aux risques.
Quand est-ce qu’une association doit mener une analyse d’impact ?
Tous les traitements ne nécessitent cependant pas la mise en œuvre d’une analyse d’impact. En effet, selon l’article 35, une analyse d’impact doit être mené (uniquement) quand le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées. L’analyse d’impact est, en particulier, requise dans les cas suivants:
a) l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire
b) le traitement à grande échelle de catégories particulières de données visées à l’article 9, paragraphe 1, ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10; ou
c) la surveillance systématique à grande échelle d’une zone accessible au public.
Si le traitement mené par votre association ne présente pas de risque élevé pour les droits et libertés des personnes concernées aucune analyse n’est obligatoire. De même si vous avez déjà effectué une analyse pour un traitement similaire, une nouvelle analyse n’est pas requise.
Quelle est la définition d’un risque sur la vie privée ?
Malheureusement il n’y a pas de définition dans l’article 35, donc en se référant à ce que dit la CNIL, un “risque sur la vie privée” consiste en:
- un événement redouté (accès non autorisé, modification non désirée ou disparition de données), et ses impacts potentiels sur les droits et libertés des personnes
- toutes les menaces qui permettraient qu’il survienne.
Il est estimé en termes de gravité (vis à vis des personnes concernées) et de vraisemblance.
À quel moment faut-il mener une analyse d‘impact ?
Une analyse de l’impact des opérations de traitement envisagées doit être menée avant la mise en œuvre du traitement. Si votre association a déjà mis en oeuvre des traitements avant l’entrée en vigueur du RGPD, une étude d’impact ne sera pas exigée si ces traitements ont fait l’objet d’une formalité préalable auprès de la CNIL. Attention cette dispense d’obligation de réaliser une analyse sera limitée à une période de 3 ans .
Qui doit faire cette analyse d’impact ?
Le responsable de traitement est tenu par l’obligation de s’assurer de la conformité de son traitement au RGPD. S’il a désigné un délégué à la protection des données, il lui demande conseil et le charge de vérifier l’exécution du DPIA.
Quel est le montant des sanctions prévues par le règlement en cas de manquements aux dispositions relatives aux analyses d’impact ?
Le montant des amendes peut s’élever jusqu’à 10 000 000 EUR ou, dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu (art. 83(4)(a)).
Adoptez un CRM pour être en conformité avec le règlement
D’ici à mai 2018, le associations devront adopter un certain nombre de mesures, telles que (potentiellement) la nomination d’un délégué à la protection des données (Data Protection Officer ou DPO) ou la mise en place d’une étude d’impact avant la mise en œuvre de certains traitements, sous peine de sanctions, etc…pour plus de détails, voir notre article Comment préparer votre association à la nouvelle Réglementation Générale sur la Protection des Données ?
Le simple fait de s’équiper d’un logiciel CRM simple ne sera pas suffisant pour les associations. Il faudra s’équiper d’un logiciel dont l’infrastructure est suffisamment solide, établie et capable de se conformer au RGPD. Les amendes sont bien trop lourdes pour les ignorer. Il existe cependant un grand nombre de solutions gratuites pour le associations… Pour les associations souhaitant utiliser un de ces logiciels gratuits, se pose alors une question légitime : lequel d’entre eux choisir, et selon quels critères ? Pourquoi ne pas prendre un logiciel gratuit plutôt qu’un logiciel payant (certes leader mondial, tels que Salesforce ou Blackbaud) ?
Notre équipe a plus de 10 ans d’expérience d’intégration de CRM leaders tels que Salesforce. Certes ces offrent sont payantes, mais si on constate que plus de 12 000 associations utilisent ce produits, il y a une bonne raison à cela. Les offres gratuites n’offrent pas forcément la même sécurité, elles peuvent potentiellement disparaître et ne prennent pas le RGPD autant au sérieux (voir Salesforce et Blackbaud sur le sujet). Chez VerticalSoft, nous avons développé une solution en français, basée sur Salesforce, et donc vous offrant la sécurité de l’infrastructure Salesforce, grâce à notre accord avec Salesforce.org, la fondation de Salesforce. Pour plus d’information, sur nos fonctionnalités, voir notre site web ou contactez nous.
***
Pour plus d’information sur le règlement européen sur la protection des données et les associations, voir :
Guide pratique gratuit « Les associations et le Règlement Général sur la Protection des Données (RGDP ou GDPR) », cliquez ici.
VerticalSoft 