Déterminer le niveau de risque du traitement

Une fois le périmètre du traitement déterminé, il est possible de passer à la 2è étape : la détermination du niveau de risque du traitement. Analyser le risque du traitement, c'est se demander à quel point le traitement qui est envisagé est susceptible de porter atteinte à la vie privée des personnes concernées, et quelles pourraient être les conséquences pour elles en cas d'incident de sécurité. Déterminer le niveau de risque du traitement revient à déterminer la procédure qui sera applicable :

• Une fiche registre, ce qui correspond à un traitement ne présentant pas de risque particulier ;

• Une analyse d'impact sur la protection des données (AIPD), ce qui correspond à un traitement présentant ou étant susceptible de présenter un risque élevé pour les personnes concernées.

Pour les structures publiques, il faudra également se demander si un acte réglementaire est nécessaire pour mettre en œuvre le traitement ou non, et si cet acte doit faire l'objet d'un avis préalable de la CNIL ou non.

Le Règlement ne donne pas une liste de critères permettant de déterminer si tel traitement doit plutôt faire l'objet d'une fiche registre ou plutôt d'une AIPD : cet élément est à analyser de manière casuistique. Néanmoins, il existe plusieurs outils très fiables afin de déterminer ce niveau de risque, sous l'angle du type de documentation à compléter.

Tout d'abord, la CNIL a publié deux listes de traitements pour lesquels une AIPD est requise, et pour lesquels une AIPD n'est pas requise. Ainsi, si le traitement envisagé se trouve dans l'une ou l'autre de ses listes, vous saurez immédiatement la documentation qui sera à compléter.

Ensuite, le Comité Européen sur la Protection des Données (CEPD), a établi une liste de 9 critères permettant de déterminer le niveau de risque du traitement envisagé. Il est habituellement considéré que si 2 critères sont remplis, réaliser une AIPD est fortement recommandé.

Enfin, la CNIL a publié une infographie très utile sur ce sujet :