PIA : quels sont vos traitements concernés ?
La CNIL vient de publier deux documents essentiels concernant les analyses d’impacts relatives à la protection des données (AIPD ou Privacy Impact Assessment – PIA). Le premier concerne les lignes directrices de la CNIL et la seconde, la liste tant attendue des types d’opérations de traitement soumis à PIA (Délibérations n°2018-326 et 2018-327 du 11 octobre 2018). Des illustrations de ces catégories d’opérations sont également présentes sur son site web.
1. Ce que prévoit déjà la règlementation européenne
Pour rappel, un PIA doit être réalisé quand un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées. Le Règlement Général européen sur la Protection des Données personnelles (RGPD) précise notamment que trois types de traitements sont susceptibles de présenter un risque élevé, à savoir :
- l’évaluation systématique et approfondie d’aspects personnels fondée sur un traitement automatisé et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire
- le traitement à grande échelle de données sensibles ou relatives à des condamnations pénales et des infractions
- la surveillance systématique à grande échelle d’une zone accessible au public
Le Comité européen à la protection des données (CEPD), groupe des autorités de protection des données européennes, a, quant à lui, identifié plusieurs critères qui permettent de déterminer quand un PIA s’avère nécessaire. Il s’agit par exemple de la présence de données sensibles, de données traitées à grande échelle, ou de traitements qui impliquent des croisements ou combinaisons de données, de l’évaluation ou du scoring etc. Généralement, la présence de deux de ces critères conduira le responsable de traitement à mener un PIA.
La CNIL se réfère d’ailleurs aux critères dégagés par le CEPD au sein de sa propre liste. Elle identifie traitement par traitement les critères qui l’ont conduite à considérer qu’un PIA est nécessaire.
2. La liste Cnil des opérations de traitement soumises à PIA
Un projet de liste a été adopté par la CNIL, lequel a été soumis au CEPD au cours de l’été. La CNIL a pris en compte ses commentaires et procédé à l’adoption de sa liste définitive.
Il convient de noter que cette liste n’est pas figée. Elle sera revue régulièrement par la CNIL. Cette liste vise 14 types d’opération de traitements de données à caractère personnel.
a) Les traitements des Ressources Humaines
Plusieurs traitements mis en œuvre par les Directions des Ressources Humaines sont concernés. Ainsi, l’ensemble des organismes, tous secteurs d’activité confondus, est concerné. La CNIL considère en effet que les traitements relatifs aux alertes professionnelles doivent faire l’objet d’un PIA. Elle fonde sa décision sur le fait que ces traitements concernent des personnes dites « vulnérables ».
En effet, les salariés sont considérés comme des personnes vulnérables en raison du déséquilibre des pouvoirs accru qui existe entre les personnes concernées et le responsable du traitement. Ces traitements conduisent, en outre, à la collecte de données sensibles ainsi qu’à l’évaluation ou la notation de ces personnes.
De même, les traitements établissant des profils à des fins de gestion des ressources humaines sont concernés. Il s’agit de traitements que l’on retrouve fréquemment au sein des Directions des ressources humaines comme par exemple des traitements concernant les hauts potentiels, l’utilisation d’outils ayant recours à des algorithmes pour faciliter le recrutement (les traitements relatifs au recrutement sont cette année la cible du programme des contrôles de la CNIL) ou proposer des formations personnalisées ou encore des traitements ayant vocation à détecter le départ de salariés.
Les traitements de surveillance constante de l’activité des salariés sont également soumis à PIA. Sont ici visés, par exemple, les dispositifs de vidéosurveillance portant sur des employés manipulant de l’argent ou travaillant dans un entrepôt qui contient des objets de valeur. Des dispositifs de cybersurveillance tels que les Data Loss Prevention qui consistent en une analyse des flux de courriels sortants afin de détecter d’éventuelles fuites d’information ou tels que des keyloggers permettant d’enregistrer à distance toutes les actions accomplies sur un ordinateur devront faire l’objet de PIA. S’agissant des keyloggers, rappelons que, sauf circonstances exceptionnelles liées à un fort impératif de sécurité, ce mode de surveillance est illicite.
b) Les traitements de profilage
Le recours au profilage devra dans certains cas faire l’objet d’un PIA. Ce sera le cas, par exemple, lorsque le profilage peut aboutir à l’exclusion du bénéfice d’un contrat, à sa suspension ou à sa rupture telles que les traitements classiques du secteur bancaire, à savoir le scoring de crédit ou les traitements de lutte contre la fraude aux moyens de paiement. L’utilisation de données provenant de sources externes pour l’établissement de profils est également soumise à PIA. Ce sont, par exemple, les traitements des data brokers qui sont visés ainsi que certains traitements visant à personnaliser les publicités en ligne.
c) Les traitements de localisation à large échelle
La CNIL a dernièrement beaucoup communiqué sur les applications mobiles permettant de collecter des données de géolocalisation des utilisateurs. C’est donc sans surprise que ces dernières figurent dans la liste des traitements soumis à PIA. La CNIL vise cependant plus largement les traitements de localisation à large échelle. Mise à part les applications mobiles, sont concernées par exemple les services de géolocalisation urbaine utilisés par un grand nombre de personnes et les systèmes de billettiques des opérateurs de transport. Il convient de noter que les bases de données « client » des opérateurs de communication électronique devront également faire l’objet d’un PIA.
d) Les traitements mis en œuvre dans le secteur de la santé
Les traitements mis en œuvre par les établissements de santé ou les établissements médico-sociaux pour la prise en charge des personnes qui contiennent des données de santé doivent faire l’objet d’un PIA. Il s’agit ainsi des traitements cœur de métier des établissements de santé comme le dossier « patients », les dispositifs de vigilances sanitaires et de gestion du risque, la gestion du laboratoire de biologie médicale et de la pharmacie à usage intérieur.
Les traitements impliquant davantage l’utilisation des nouvelles technologies tels que les algorithmes de prise de décision médicale ou les dispositifs de télémédecine sont également concernés.
De même, les traitements relatifs à la gestion des résidents pris en charge par les centres communaux d’action sociale (CCAS) ou par les établissements d’hébergement pour personnes âgées dépendantes (EHPAD) font partie du périmètre de cette liste.
Les traitements portant sur des données génétiques de personnes dites « vulnérables » (patients, employés, enfants, etc.) tels que les traitements de recherche médicale sur des patients ou ceux utilisés pour la gestion des consultations de génétique sont également concernés.
Enfin, les traitements des données de santé nécessaires à la constitution d’un entrepôt de données utilisé à des fins de recherche ou nécessaires à la constitution d’un registre sont soumis à PIA.
e) Les traitements mis en œuvre dans le secteur social et sanitaire
Les traitements ayant pour finalité la gestion des alertes et des signalements en matière sociale et sanitaire tels que les dispositifs de signalement des mineurs en danger et la gestion de crise ou d’alerte sanitaire devront faire l’objet d’un PIA.
Il en est de même des traitements ayant pour finalité l’accompagnement social ou médico-social des personnes ainsi que l’instruction des demandes et gestion des logements sociaux.
f) Les traitements mutualisés de manquements contractuels constatés, susceptibles d’aboutir à une décision d’exclusion ou de suspension du bénéfice d’un contrat
Les traitements, lorsqu’ils sont mutualisés représentent généralement un risque plus important pour les personnes concernées. C’est pourquoi la CNIL considère que les traitements mutualisés de manquements contractuels constatés, susceptibles d’aboutir à une décision d’exclusion ou de suspension du bénéfice d’un contrat doivent faire l’objet d’un PIA. Il s’agit par exemple des célèbres listes noires susceptibles d’être partagées au sein d’un groupe.
Des PIA devront donc être réalisées pour les traitements mutualisés d’impayés et de souscriptions irrégulières lorsqu’ils sont partagés par un secteur d’activité. Les traitements de résiliation automobiles qui permettent aux sociétés d’assurance de vérifier les antécédents d’un futur assuré lors de la demande de souscription d’un contrat d’assurance automobile appartiennent aussi à cette catégorie de traitement.
g) Les traitements biométriques de reconnaissance des personnes vulnérables
Enfin, les responsables de traitement qui mettent en œuvre des traitements biométriques qui permettent la reconnaissance des personnes vulnérables devront mener un PIA. Il convient cependant de noter que les traitements qui impliquent de la biométrie ne feront pas systématiquement l’objet d’un PIA. À titre d’illustration, peuvent être cités les traitements de contrôle d’accès à la cantine scolaire par reconnaissance du contour de la main ou encore les traitements de contrôle d’identité des patients par reconnaissance de l’empreinte digitale.
3. Que faire lorsque plusieurs de mes traitements figurent dans cette liste ?
Si vous avez retrouvé plusieurs de vos traitements dans cette liste, pas de panique. Si ce traitement a été mis en œuvre avant le 25 mai 2018 et qu’il a fait l’objet de formalité préalable auprès de la CNIL, était dispensé de formalité ou figurait dans votre registre, vous disposez de trois ans pour réaliser votre PIA. Vous devrez cependant réaliser un PIA sans attendre si votre traitement fait l’objet d’une modification significative. La CNIL n’est pas la seule autorité européenne à avoir adoptée une telle liste. Une vingtaine d’autres autorités ont adressé au CEPD leur liste. Elles adopteront prochainement leur liste des traitements non soumis à PIA. La CNIL a confirmé qu’elle adresserait bientôt la sienne pour avis au CEPD.
Pour en savoir plus :
Lignes directrices du CEPD sur les PIA
Infographie de la CNIL sur les PIA
Qu’est-ce que l’analyse d’impact version RGPD [PIA, DPIA, EIVP] ?
Je partage
Derniers articles
Renforcer la sécurité WordPress, du développement des plugins à la configuration serveur
Il y a peu, dans le cadre de recherches sur des plugins WordPress, notre pentester Vincent Fourcade a découvert une injection de code, côté client, dans un module du célèbre CMS. Celle-ci fut vérifiée et validée par les équipes de WPScan. Aujourd’hui, une CVE lui a été attribuée. L’occasion de revenir aujourd’hui sur la sécurité, au sens large, dans le CMS WordPress, que ce soit au niveau de la couche applicative, de la configuration du serveur ou du bureau. C’est parti !
Analyse des Métriques XSS : comprendre l’Impact des injections de code côté client
Lors des tests d’intrusion, l’injection de code côté client est généralement plus aisée à découvrir qu’une injection côté serveur. Le nombre de paramètres dynamiques transitant du back au front, la difficulté d’échapper correctement à l’entrée et à la sortie et la multitude d’encodage liés à l’affichage peuvent être des vrais casse-têtes pour qui souhaite faire la chasse à la XSS. Le JavaScript malveillant semble ainsi avoir de beaux jours devant lui. Cependant, il n’est pas rare qu’à l’issu de l’audit, la criticité d’une telle injection découle directement de la configuration des cookies présents sur l’application. En effet, l’absence de l’attribut HttpOnly majore irrémédiablement les risques liés à ce type d’attaque. Néanmoins, cela signifie-t-il que la présence de cet attribut doive absolument amenuiser la criticité d’une injection ?