L'évaluation des risques liés à la Traitement des données à caractère personnel, joue un rôle important dans le Protection des données un rôle central. Un instrument essentiel dans ce contexte est ce que l'on appelle la Analyse des seuils : Un examen préliminaire qui détermine si une Analyse d'impact sur la protection des données (DSFA) selon l'art. 35 RGPD est nécessaire. C'est précisément pour les responsables de la protection des données et de la conformité que la question se pose régulièrement dans la pratique : Quand faut-il effectuer une analyse de seuil, comment fonctionne-t-elle et comment peut-on évaluer avec certitude s'il existe un "risque probablement élevé" ? Cet article apporte des réponses pratiques à ces questions et à d'autres, et montre comment intégrer efficacement et en toute sécurité juridique les analyses de seuils dans l'organisation de la protection des données.
Qu'est-ce qu'une analyse de seuil ?
Une analyse de seuil (en anglais : analyse des seuils) désigne une évaluation préalable des risques dans la protection des données. Avant de lancer un nouveau traitement de données ou de le modifier de façon substantielle, le Responsable, si le seuil de "risque élevé" est dépassé. Si c'est le cas, l'art. 35 de la loi sur la protection des données prévoit que la personne concernée doit être informée de ses droits. RGPD un rapport détaillé Analyse d'impact sur la protection des données (DSFA) doit être effectuée. L'analyse des seuils est ne sont pas explicitement mentionnés en tant que termes dans la loimais il résulte de l'art. 35, al. 1, 3 et 4 RGPD. Elle est en fait une analyse des risques en amontqui a permis à l'actuel Niveau de risque d'une Traitement est déterminée.
Le système Risque pour les droits et libertés des personnes physiques au centre de l'attention. C'est-à-dire les conséquences négatives possibles pour les personnes concernées, telles que la discrimination, l'usurpation d'identité, les pertes financières ou l'atteinte à la réputation (voir considérant 75 RGPD).
Un risque est typiquement déterminé par deux facteurs : Probabilité d'occurrence et Gravité des dommages d'un événement. Pour simplifier, on peut dire que plus un dommage potentiel est probable et grave pour les personnes, plus il est important. Personnes concernées est élevé, plus le risque est élevé. L'analyse des seuils pose donc la question Ce risque est-il susceptible d'atteindre un niveau élevé ? Si la réponse est non, la Traitement se passer de DSFA. Si c'est le cas, un DSFA est obligatoire.
Quelle est la différence entre l'analyse des seuils, l'analyse des risques et l'analyse de l'impact ? Analyse d'impact sur la protection des données (DSFA) ?
Ces termes sont étroitement liés, mais ont des significations différentes Fonctions dans la gestion de la protection des données :
- Analyse des valeurs seuils est une évaluation formalisée des risques en amont de la DSFA. Elle se concentre essentiellement sur la question "Oui ou non : existe-t-il un risque élevé ? Ici, il y a donc encore pas dans les moindres détails, mais elle permet de classer grossièrement les risques potentiels à l'aide de critères. L'analyse des seuils est donc Partie de la gestion des risques d'un responsable et sert à Prise de décisionsi une enquête plus approfondie (DSFA) est nécessaire.
- Analyse des risques est un terme souvent utilisé de manière générale et peut désigner aussi bien l'analyse des seuils que l'analyse détaillée des risques dans le cadre de la DSFA. En principe, la RGPDque Responsable les risques liés à leurs activités de traitement évaluer et gérer en permanence - qu'il y ait ou non une obligation de DSFA. Chaque Traitement comporte certains risques qu'il convient d'éviter par des mesures appropriées. mesures techniques et organisationnelles qu'il s'agit de maîtriser. En ce sens, la L'évaluation des risques : un processus continu dans la gestion de la protection des données. L'analyse des risques au sens strict (par exemple de manière analogue à la Analyse des besoins de protection dans la Sécurité informatique) comprend les Identification des risquesqui Évaluation de la probabilité d'occurrence et du montant des dommages et les Définition des mesures pour le traitement des risques.
- Analyse d'impact sur la protection des données (DSFA) est la examen détaillé et gestion des risques élevés. Si l'analyse de seuil a montré qu'il existe probablement un risque élevé, on procède à la DSFA. Détail. La DSFA est une procédure structurée dont le contenu est défini à l'article 35, paragraphe 7. RGPD est prédéfinie. Elle comprend typiquement : une description précise Description de l'opération, une évaluation de la Nécessité et proportionnalité le Traitement, une analyse approfondie des risques (quels sont les risques concrets pour quels droits ? Définition des mesures pour faire face à ces risques. Au final, il en résulte un Rapport DSFAqui a fait toutes les constatations et Mesures de réduction des risques est documenté. Une partie du DSFA peut également consister en une Retour d'information par le délégué à la protection des données et si, malgré les mesures, un risque résiduel élevé subsiste, une Consultation le Autorité de surveillance (Art. 36 RGPD).
Conseil de lecture : Quand une Analyse d'impact sur la protection des données (DSFA) ?
Quand l'analyse des seuils n'est-elle pas nécessaire ?
Après la RGPD est une Analyse d'impact sur la protection des données "nécessaire chaque fois qu'un projet de Traitement de données à caractère personnel est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques".. En pratique, cela signifie que avant une analyse des seuils doit être effectuée lors de la mise en service d'un nouveau traitement de données ou lors d'une modification importante d'un traitement existant, afin d'évaluer précisément ce risque élevé. Article 35 RGPD cite explicitement certains cas dans lesquels une DPA doit être effectuée dans tous les cas. Il s'agit notamment des cas suivants
- Profilage et la prise de décision automatisée ayant un impact significatif (par ex. systèmes de scoring de solvabilité entièrement automatisés),
- Vaste Traitement des catégories particulières de données à caractère personnel (données sensibles telles que Données de santé, données biométriques, etc.),
- Surveillance systématique à grande échelle des lieux accessibles au public (exemple classique : Vidéosurveillance de grandes zones).
S'il existe une Traitement dans l'une de ces catégories, l'obligation de DSFA est claire. L'analyse des seuils ne fait alors que confirmer le constat évident.
En outre, l'article 35, paragraphe 4, oblige RGPD les autorités de surveillance, Listes des opérations de traitement pour lesquelles une DSFA est requise. En Allemagne, il existe de tels Listes noires tant pour le domaine non public (adopté par la Conférence sur la protection des donnéesDSK) que pour les organismes publics (édicté par le BfDI). Par exemple, la Liste noire des autorités, les systèmes de scoring, les analyses big data des données des clients ou les mesures de surveillance à grande échelle, entre autres, sont considérés comme devant être soumis à la DSFA. Il est donc toujours recommandé de vérifier si la mesure prévue Traitement figure sur une telle liste.
Remarque : Sur les soi-disant Listes blanches (listes des opérations de traitement qui pas DSFA), de nombreuses autorités de contrôle y renoncent, car pratiquement toute opération peut devenir risquée en fonction du contexte. Au lieu de cela, le principe de Examen au cas par cas: Pour chaque nouveau Traitement le risque doit être évalué individuellement.
Quand faut-il effectuer une analyse des seuils ?
Dans tous les autres cas, lorsqu'aucune obligation claire n'est établie, l'analyse de seuil est le moyen de choix pour décider, si une DPA est nécessaire. Le groupe de travail "Article 29" (aujourd'hui l'EDSA) a défini les lignes directrices suivantes neuf critères qui sont des indicateurs d'un risque élevé. En règle générale, la combinaison de au moins deux de ces critères indiquent qu'un DSFA doit être effectué. Ces critères comprennent entre autres
- Décisions automatisées ayant un effet juridique ou un effet important similaire,
- Surveillance systématique (surtout si c'est en secret ou à grande échelle),
- Traitement de données sensibles ou de données pénales (art. 9 et 10 RGPD) - en particulier si vaste,
- Traitement des données à grande échelle (beaucoup Personnes concernées(par exemple, un grand nombre de données, une longue période de temps, une vaste étendue spatiale),
- Fusionner des ensembles de données de différentes sources que le Personnes concernées a fourni à l'origine à des fins différentes,
- Données sur les personnes particulièrement vulnérables (enfants, patients, collaborateurs en situation de dépendance),
- utilisation de technologies nouvelles ou innovantes ou de procédés (par ex. systèmes d'intelligence artificielle, technologies de suivi),
- les opérations de traitement qui empêchent les personnes concernées d'exercer leurs droits ou qui les excluent du bénéfice d'une prestation (par exemple, un scoring qui décide de l'accès à un service).
Si plusieurs de ces facteurs de risque s'appliquent, le seuil du risque élevé est généralement dépassé. Dans la pratique, les autorités de surveillance recommandent plutôt, en cas d'incertitude d'effectuer un DSFA de manière proactive, en particulier lorsque qualitatif des risques significatifs sont identifiés. Il est préférable de mettre en place une analyse d'impact à un stade précoce plutôt que de prendre le risque d'une violation de la protection des données. Important : une DSFA doit toujours avant Début de l'activité à haut risque Traitement être achevé (cf. art. 35 al. 1 RGPD - "à effectuer au préalable"). L'analyse des seuils devrait donc avoir lieu dès la phase de planification des nouveaux projets.
Comment effectuer une analyse de seuil en pratique ?
La réalisation d'une analyse de seuil s'effectue structuré en plusieurs étapes. Les responsables de la protection des données et de la conformité peuvent s'inspirer des procédures suivantes, qui ont fait leurs preuves dans la pratique :
Étape 1 : Description de la Traitement et conditions générales
Tout d'abord, l'opération de traitement prévue est décrite le plus concrètement possible : Quelles données sont prises en charge par qui, où, comme et dans quel but sont-elles traitées ? Cette description doit être comparée avec le registre des activités de traitement. Il est également important de Documentation le Base juridique (Art. 6 RGPD, le cas échéant Art. 9 RGPD pour les données particulières) et la Affectation des fonds du traitement des données. Sans base juridique solide, le Traitement Dans ce cas, il n'est pas nécessaire de procéder à la DPA, car le projet serait de toute façon irrecevable.
Étape 2 : Vérification préalable des exceptions ou obligations évidentes
Ensuite, on vérifie si une Dérogation ou si une obligation DSFA claire est déjà établie. Dans certains pays (p. ex. en Autriche), il existe une Liste blanche-qui exempte certains traitements de l'obligation d'être soumis à la DSFA. Si une telle exception est applicable, l'analyse des seuils peut s'arrêter là. Le processus doit alors être documenté (y compris la référence à l'exception) et la DSFA n'est pas nécessaire. Inversement : si la Traitement sur un site officiel Liste noire (liste obligatoire), on peut commencer directement avec la DSFA et l'analyse des seuils ne sert plus qu'à Documentation du risque élevé. Dans tous les autres cas, on passe à l'évaluation détaillée du risque.
Étape 3 : Évaluation systématique des critères de risque
Maintenant, on évalue le projet Traitement sur la base d'un catalogue de critères sur d'éventuels risques élevés. De nombreuses organisations utilisent à cet effet Listes de contrôle ou des catalogues de questions qui couvrent les critères recommandés par l'EDSA ainsi que d'autres aspects pertinents pour la pratique. Les questions directrices typiques dans une analyse de seuil sont par exemple
- Les aspects personnels des personnes concernées sont-ils évalués ou des profils sont-ils établis ? (mot-clé Profilage)
- Des décisions automatisées sont-elles prises qui ont un effet juridique ou des conséquences importantes similaires ?
- Si une surveillance systématique a lieu - par exemple Suivi ou Vidéosurveillance?
- Traite-t-on des catégories particulières de données à caractère personnel (par ex. santé, religion, orientation sexuelle) ou des données pénales - et peut-être à grande échelle ?
- Si les données sont stockées dans à grande échelle traitées (nombreuses personnes, grandes quantités de données, longue durée de conservation, large couverture géographique) ?
- Si des données provenant de différentes sources sont rassemblées, de sorte que Personnes concernées ne s'attendent pas à cela ?
- Concerne les Traitement des personnes vulnérables ? (enfants, employés, patients, etc. qui sont en déséquilibre de pouvoir par rapport au responsable)
- Venir nouvelles technologies ou des procédés innovants dont les effets sont encore incertains sont-ils utilisés ? (par ex. IA, Big Data Analytique, IoT)
- Est-ce que la Traitement conduire à ce que Personnes concernées être empêché d'exercer ses droits ou être exclu d'un service ? (par exemple, le scoring qui décide de l'exécution d'un contrat)
Chacune de ces questions vise un aspect de risque potentiel. Pour chaque question, il convient de documenter de manière compréhensible si avec "oui" (vrai) ou "Non" est répondu et pourquoi. Déjà un seul "oui pour l'une des questions clés (par exemple, évaluation des aspects personnels, Traitement de données sensibles ou surveillance de zones publiques) peut suffire pour supposer une obligation de DSFA. En particulier lorsqu'il s'agit d'interventions très étendues, il est préférable, en cas de doute, d'opter pour la DSFA. Toutefois, dans de nombreux cas, plusieurs critères affirmés indiquent que le risque global est élevé.
Étape 4 : Évaluation globale des risques et décision
Par la suite, le Risque global de l'opération prévue Traitement sont estimés en fonction des critères. C'est ici que convergent les résultats des différents critères. Par analogie avec les analyses de risques classiques, on peut Matrice des risques pour évaluer la probabilité d'occurrence et l'ampleur des dommages. Il est important que cette évaluation objectif et motivées (voir considérant 76 RGPD demande une évaluation sur la base de critères objectifs). Si l'analyse des seuils conclut que pas de risque élevé est disponible, on le consigne par écrit. Dans ce cas pas de DSFA est nécessaire et le processus peut être lancé normalement (en respectant toutes les autres exigences du RGPD). Toutefois, si l'on estime que un risque élevé probable est disponible, devrait un DSFA est immédiatement effectué être effectuée. L'analyse des valeurs seuils débouche ensuite sur la recommandation ou l'obligation d'effectuer une Analyse d'impact sur la protection des données de l'entreprise.
Étape 5 : Documentation des résultats
Transparence et détectabilité sont ici aussi essentiels : toute analyse de seuil devrait être documentée par écrit. Même si elle conclut à l'absence de DSFA. Le site Autorité de surveillance ou le délégué à la protection des données doit pouvoir comprendre comme le Responsable a pris la décision. C'est pourquoi la Documentation au minimum : une description de l'activité, l'ensemble des critères examinés, les réponses/évaluations et la conclusion avec justification. En cas d'audit, une analyse des seuils proprement documentée montre que le Responsable a pris au sérieux son obligation d'évaluer les risques.
Conseil pratique : utilisez les Moyens auxiliaires. De nombreuses autorités de surveillance et organisations de protection des données fournissent des listes de contrôle, des schémas de vérification ou des outils d'analyse des seuils. Le LfD de Basse-Saxe, par exemple, propose un guide détaillé sur l'utilisation de l'Internet. Schéma de contrôle avec liste de contrôle àIl existe également une liste de contrôle Excel disponible gratuitement auprès de l'autorité de protection des données du Liechtenstein. Ces ressources peuvent servir de base, mais doivent toujours être adaptées aux circonstances spécifiques de votre entreprise.
Comment intégrer l'analyse des seuils dans l'organisation de la protection des données ?
Pour que l'analyse des seuils et la DSFA soient efficaces dans la vie quotidienne de l'entreprise, elles devraient être intégrées dans les systèmes existants. Processus et structures être intégrées.
Implication précoce et processus fixes : Établissez des procédures internes claires Étapes du processusIl existe des outils qui déclenchent automatiquement un contrôle de la protection des données lors de nouveaux projets ou de modifications de processus. Par exemple, votre gestion de projet peut prévoir que le responsable de la protection des données soit impliqué avant la mise en service d'un nouveau système informatique et qu'une analyse des seuils soit effectuée. Le responsable et le délégué à la protection des données devraient idéalement effectuer cette analyse. réaliser ensemble. Former les services spécialisés pour qu'ils signalent rapidement les nouveaux traitements de données à l'équipe de protection des données.
Documentation et la gestion des preuves : Traiter les Documentation de l'analyse des seuils avec le même soin que les autres documentations RGPD (Registre de traitement, TOMs etc.). Définir où les analyses remplies sont classées (par exemple dans votre outil de gestion de la protection des données) et qui est habilité à la certification est en cours. Veillez à ce que chaque analyse contienne un horodatage, des informations sur l'auditeur (par exemple, le DPD) et une décision claire (DSFA requis : oui/non + justification). Ces documents peuvent être utilisés lors d'audits ou de demandes de Autorité de surveillance étayer votre processus décisionnel conforme
Déduction des mesures et suivi : Une analyse des seuils ne devrait jamais être une fin en soi. Tirez les conséquences des résultats : Si la DSFA n'est pas nécessaire, mais que risques accrus (bien qu'en dessous du seuil "élevé"), réfléchissez à la possibilité de prendre des mesures préventives. Mesures de protection peuvent être mises en œuvre. Si un DSFA a été effectué, suivez les mesures qui y sont définies et vérifiez leur efficacité. La gestion des risques est dynamique : surveillez donc en permanence les changements survenus dans l'entreprise concernée. Traitement change quelque chose, ce qui est une nouvelle évaluation des risques de l'entreprise. Par exemple changements technologiques (nouveaux outils, utilisation de l'IA), Modifications du trafic de données (environ Transmission vers des pays tiers suite à de nouvelles décisions de justice telles que Schrems II) ou nouvelles finalités le Traitement augmenter sensiblement un risque autrefois modéré. Dans de tels cas, il est conseillé d'utiliser l'analyse de seuil pour mettre à jour ou de le refaire.
Créer une analyse des seuils avec Ailance DSFA
L'analyse des seuils est un outil pratiquepour mettre en œuvre l'approche basée sur le risque de la RGPD dans la pratique quotidienne. Elle aide les responsables de la protection des données et les responsables de la conformité à concentrer des ressources limitées sur les opérations de traitement réellement critiques. L'identification précoce des risques potentiels et l'exécution en temps utile de la DSFA permettent de prévenir de manière proactive les violations de données. Plus le risque de protection des données est élevé, plus les mesures de protection doivent être complètes. L'analyse des seuils garantit qu'aucun risque élevé ne passe inaperçu. En somme, elle contribue largement à rendre la protection des données praticable et démontrable, dans le sens d'une protection préventive des droits fondamentaux des personnes concernées.
Un conseil pour la fin : Une analyse des valeurs seuils peut être réalisée avec notre outil Ailance DSFA rapidement et de manière structurée. Le système intuitif vous guide pas à pas dans l'évaluation de vos opérations de traitement - y compris l'évaluation des risques, le traitement automatique des données et l'analyse des données. Documentation et la connexion aux processus DSFA. Nous nous ferons un plaisir de vous présenter ces fonctions lors d'un entretien personnel. Consultez la page produit d'Ailance DSFA pour plus d'informations.
German 
English 
Italian 
French