1/27

Projet de recommandation d'initiative concernant l'analyse d'impact relative la

protection des donnes et la consultation pralable soumis la consultation publique
(CO-AR-2016-004)

partir du 25 mai 2018, le Rglement gnral sur la protection des donnes (RGPD) sera d'application.
Le RGPD confirme des principes de protection des donnes dj existants mais prvoit galement
plusieurs nouveaux droits et nouvelles obligations. Depuis quelque temps, la Commission de la
protection de la vie prive reoit de plus en plus de questions concernant la porte exacte de ces
nouveaux droits et nouvelles obligations.

Une des nouvelles obligations figurant dans le RGPD concerne l'obligation de raliser - dans certaines
circonstances - une analyse d'impact relative la protection des donnes, en abrg AIPD.
Une AIPD est un processus visant valuer les risques lis aux droits et liberts de personnes
physiques qui surviennent ou menacent de survenir dans le cadre du traitement de donnes
caractre personnel, et valuer les possibilits de gestion de ces risques. La nouvelle obligation
d'excuter une AIPD soulve d'emble plusieurs questions pratiques, comme : quand une AIPD est-
elle obligatoire ? Quels sont les lments requis d'une AIPD ? Quels acteurs doivent tre impliqus
dans une AIPD ?

Avant d'mettre une recommandation d'initiative sur ce thme, la Commission souhaite recueillir l'avis
et les suggestions des divers acteurs concerns : responsables du traitement, sous-traitants et
personnes concernes. En outre, la Commission s'attend ce que le Groupe 29 1 et l'ENISA2
promulguent relativement court terme des directives complmentaires sur la mthode d'excution
d'une AIPD en vertu du RGPD. L o la Commission l'estime opportun, ces directives complmentaires
seront intgres dans la version finale de la recommandation.

La prsente consultation, publie le 20 dcembre 2016, sera clture le 28 fvrier 2017.

La Commission prendra ensuite toutes les remarques en considration lors de l'laboration de sa
recommandation d'initiative.

Tous les avis, remarques ou autres propositions sont adresss la Commission vie prive par courrier
(Rue de la Presse, 35 1000 Bruxelles) ou par e-mail (commission@privacycommission.be).

1
Voir les priorits dfinies par le Groupe 29 dans sa dclaration du 2 fvrier 2016, publie sur http://ec.europa.eu/justice/data-
protection/article-29/documentation/opinion-recommendation/files/2016/wp236_en.pdf.
2
Voir l'annonce de l'ENISA de janvier 2016 concernant (notamment) l'aspect de l'apprciation des risques du RGPD sur ce point
https://www.enisa.europa.eu/publications/enisa-position-papers-and-opinions/enisa2019s-position-on-the-general-data-
protection-regulation-gdpr/.
 Recommandation [numro]//[anne] - - 2/27

Projet de recommandation n [numro/]/[anne]

du [date]

Objet : projet de recommandation d'initiative concernant l'analyse d'impact relative la

protection des donnes et la consultation pralable (CO-AR-2016-004)

La Commission de la protection de la vie prive (ci-aprs "la Commission") ;

Vu la loi du 8 dcembre 1992 relative la protection de la vie prive l'gard des traitements de
donnes caractre personnel (ci-aprs "la LVP"), en particulier l'article 30 ;

Vu les articles 35 et 36 du Rglement (UE) 2016/679 du Parlement europen et du Conseil du

27 avril 2016 relatif la protection des personnes physiques l'gard du traitement des donnes
caractre personnel et la libre circulation de ces donnes, et abrogeant la directive 95/46/CE
(rglement gnral sur la protection des donnes) ;

Vu le rapport de Willem Debeuckelaere ;

met, le 2016, la recommandation suivante :

 Recommandation [numro]//[anne] - - 3/27

Table des matires

1. Introduction ........................................................................................................................ 4

2. Contexte juridique : la responsabilit et l'approche fonde sur les risques ............................... 4

3. lments essentiels d'une AIPD telle que requise par l'article 35 du RGPD............................... 6

A) Aperu ............................................................................................................................ 6

B) Inventaire des oprations de traitement envisages et des finalits du traitement ............... 6

C) Contrle de la proportionnalit .......................................................................................... 7

D) valuation des risques ...................................................................................................... 7

E) Mesures vises ...............................................................................................................10

4. Circonstances dans lesquelles une AIPD est obligatoire .........................................................11

A) Notion de "susceptible d'engendrer un risque lev" pour les droits et liberts des personnes
physiques...............................................................................................................................11

B) Situations dfinies l'article 35(3) du RGPD .....................................................................12

C) Les listes de l'autorit de contrle ....................................................................................13

5. Circonstances dans lesquelles une consultation pralable est obligatoire ................................14

6. Les acteurs concerns .........................................................................................................15

A) Le responsable du traitement ..........................................................................................15

B) Le sous-traitant ..............................................................................................................16

C) Le dlgu la protection des donnes ............................................................................16

D) Les personnes concernes ou leurs reprsentants .............................................................17

E) L'autorit de contrle ......................................................................................................17

7. Dispositions particulires .....................................................................................................18

A) Traitement en vertu d'une obligation lgale ou de l'intrt public .......................................18

B) Codes de conduite ..........................................................................................................19

C) Contrle .........................................................................................................................19

8. Annexe 1 : Caractristiques minimales d'une bonne gestion des risques ................................21

9. Annexe 2 : Liste des types d'oprations de traitement pour lesquelles une AIPD est requise (art.
35(4) du RGPD) .........................................................................................................................24

10. Annexe 3 : Liste des types d'oprations de traitement pour lesquelles aucune AIPD n'est requise
(art. 35(5) du RGPD) ..................................................................................................................26
 Recommandation [numro]//[anne] - - 4/27

1. Introduction

1. Le Rglement gnral relatif la protection des donnes ("RGPD") 3 est entr en vigueur le
24 mai 2016. Le RGPD sera d'application partir du 25 mai 2018. 4

2. Le RGPD prvoit plusieurs nouvelles obligations pour le responsable du traitement 5, dont

l'obligation de procder, dans certains cas, une analyse d'impact relative la protection des donnes
("AIPD"). Une AIPD est un processus visant valuer les risques lis aux droits et liberts des
personnes physiques qui surviennent ou menacent de survenir dans le cadre du traitement de donnes
caractre personnel, et valuer les possibilits de gestion de ces risques 6.

3. Le but de la prsente recommandation est de fournir des explications plus dtailles concernant :

(1) les lments essentiels d'une AIPD (point 3) ;

(2) les circonstances dans lesquelles une AIPD est obligatoire (point 4) ;
(3) les circonstances dans lesquelles une consultation pralable est obligatoire (point 5) ;
(4) les acteurs qui doivent tre impliqus dans une AIPD (point 6) ; et
(5) plusieurs dispositions particulires (point 7).

4. Avant d'aborder les aspects susmentionns, il est utile d'expliquer le contexte juridique de
l'obligation de procder une AIPD, afin de favoriser une bonne comprhension de la ratio legis.

2. Contexte juridique : la responsabilit et l'approche fonde sur les risques

5. L'obligation de procder une AIPD doit tre examine la lumire de deux principes centraux du
RGPD, savoir le principe de la responsabilit et le principe de l'approche fonde sur les risques.

6. Le principe de la responsabilit (ce qu'on appelle l' "accountability") implique que le responsable
du traitement n'est pas uniquement tenu de respecter les principes et obligations du RGPD mais qu'il

3
Rglement (UE) 2016/79 du Parlement europen et du Conseil du 27 avril 2016 relatif la protection des personnes physiques
l'gard du traitement des donnes caractre personnel et la libre circulation de ces donnes, et abrogeant la directive
95/46/CE (rglement gnral sur la protection des donnes), J.O. 4 mai 2016, L 119/1.
4
Article 99(2) du RGPD.
5
L o la version nerlandaise de la Directive 95/46/CE renvoyait au "voor de verwerking verantwoordelijke", le RGPD renvoie
au "verwerkingsverantwoordelijke". NdT : cette diffrence ne se reflte pas dans la version franaise du texte.
6
La notion d' "analyse d'impact relative la protection des donnes" n'est pas dfinie en tant que telle dans le RGPD mais est
explique comme suit dans le considrant (84) : "Afin de mieux garantir le respect du prsent rglement lorsque les oprations
de traitement sont susceptibles d'engendrer un risque lev pour les droits et liberts des personnes physiques, le responsable
du traitement devrait assumer la responsabilit d'effectuer une analyse d'impact relative la protection des donnes pour
valuer, en particulier, l'origine, la nature, la particularit et la gravit de ce risque.
 Recommandation [numro]//[anne] - - 5/27

doit galement pouvoir dmontrer qu'il les respecte 7. L'AIPD constitue un instrument important cet
gard, tant donn qu'elle peut contribuer aussi bien au respect des principes et obligations du RGPD
qu' la dmonstration de ce respect.

7. Le principe de la responsabilit du responsable du traitement va de pair avec une approche fonde

sur les risques (ce qu'on appelle une "risk-based approach)8"). L'article 24(1) du RGPD dispose
que "Compte tenu de la nature, de la porte, du contexte et des finalits du traitement ainsi que des
risques, dont le degr de probabilit et de gravit varie, pour les droits et liberts des personnes
physiques, le responsable du traitement doit prendre des mesures techniques et organisationnelles
appropries pour s'assurer (...) que le traitement est effectu conformment au prsent rglement ".

8. L'approche fonde sur les risques du RGPD a pour but de promouvoir une approche volutive
et proportionnelle9 sans remettre en question les principes de protection des donnes ou les droits
des personnes concernes10. Cela signifie qu'il faudra prendre davantage de mesures de protection
pour des traitements risque lev que pour des traitements risque faible.

9. L'obligation de procder une AIPD a t labore dans le contexte de la Directive 95/46/CE qui
prvoyait une obligation gnrale de notifier chaque traitement de donnes caractre personnel aux
autorits de contrle. Cette obligation gnrait une charge administrative et financire, sans
ncessairement amliorer le niveau de protection pour les donnes caractre personnel 11.
Le nouveau systme met ds lors l'accent sur l'obligation du responsable du traitement de raliser une
AIPD pralable pour les traitements "susceptibles d'engendrer un risque lev" et sur les mesures
pouvant tre prises afin de rduire ces risques.

7
L'article 5(2) du RGPD dispose que : "Le responsable du traitement est responsable du respect du paragraphe 1 et est en
mesure de dmontrer que celui-ci est respect (responsabilit).
8
Voir l'Article 29 Data Protection Working Party, "Statement on the role of a risk-based approach in data protection legal
frameworks", (librement traduit : Dclaration du Groupe 29 du 30 mai 2014 sur le rle d'une approche fonde sur les risques
dans des cadres juridiques de protection des donnes"), WP 218 du 30 mai 2014.
9
En anglais : a scalable and proportionate approach to compliance. (Ibid., p. 2).
10
L'approche fonde sur les risques ne dispense pas le responsable du traitement de son obligation de respecter les principes
et obligations du RGPD. Ainsi, les principes en matire de qualit des donnes et les droits des personnes concernes doivent
toujours tre respects, quels que soient les risques qu'un traitement dtermin engendre. (Id.)
11
Considrant (89) du RGPD.
 Recommandation [numro]//[anne] - - 6/27

3. lments essentiels d'une AIPD telle que requise par l'article 35 du RGPD

A) Aperu

10. L'article 35(7) du RGPD dispose qu'une AIPD doit au moins contenir les lments suivants :

a) une description systmatique des oprations de traitement envisages et des finalits du

traitement, y compris, le cas chant, l'intrt lgitime poursuivi par le responsable du
traitement ;

b) une valuation de la ncessit et de la proportionnalit des oprations de traitement au

regard des finalits ;

c) une valuation des risques pour les droits et liberts des personnes concernes
conformment au paragraphe 1 ; et

d) les mesures envisages pour faire face aux risques, y compris les garanties, mesures et
mcanismes de scurit visant assurer la protection des donnes caractre personnel et
apporter la preuve du respect du prsent rglement, compte tenu des droits et des intrts
lgitimes des personnes concernes et des autres personnes affectes .

B) Inventaire des oprations de traitement envisages et des finalits du traitement

11. L'article 35(7) du RGPD exige en premier lieu que l'AIPD contienne une description systmatique
des oprations de traitement envisages et des finalits du traitement. Dans ce cadre, il importe
qu'aussi bien les oprations de traitement que les finalits vises soient dcrites de manire complte,
cohrente et claire. Lors de la description des oprations de traitement, la Commission s'attend ce
que le responsable du traitement tienne compte de l'obligation de tenir un registre des activits de
traitement reprise l'article 30 du RGPD. Outre une description des finalits du traitement, cette
disposition prvoit galement que le responsable du traitement conserve notamment les informations
suivantes :

- une description des catgories de personnes concernes et des catgories de donnes

caractre personnel ;

- les catgories de destinataires auxquels les donnes caractre personnel ont t ou seront
communiques, y compris les destinataires dans des pays tiers ou des organisations
internationales ;

- le cas chant, les transferts de donnes caractre personnel vers un pays tiers ou une
organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation
internationale et, dans le cas des transferts viss l'article 49, paragraphe 1, deuxime alina,
les documents attestant de l'existence de garanties appropries ;
 Recommandation [numro]//[anne] - - 7/27

- dans la mesure du possible, les dlais prvus pour l'effacement des diffrentes catgories de
donnes.

Le responsable du traitement doit veiller ce que les oprations de traitement et finalits du traitement
vises soient dcrites avec la prcision ncessaire. Il faut viter un renvoi des finalits gnrales,
dcrites au sens large (comme par ex. "amliorer l'exprience d'utilisateur", "scurit IT", "analyse") 12.
Cela s'applique mutatis mutandis l'gard des traitements viss. La description doit donner au lecteur
une ide claire des traitements de donnes viss par le responsable du traitement. La Commission
recommande galement de dcrire de manire suffisamment dtaille et claire les moyens du
traitement.

C) Contrle de la proportionnalit

12. Une AIPD doit valuer la ncessit et la proportionnalit des oprations de traitement au regard
des finalits. Le responsable du traitement doit ds lors indiquer explicitement (1) pour quelle(s)
raison(s) le traitement de donnes caractre personnel est ncessaire et (2) pour quelle(s) raison(s)
chacun des traitements viss est ncessaire pour atteindre la (les) finalit(s) poursuivie(s). Si plusieurs
traitements ou moyens du traitement peuvent tre utiliss pour atteindre la (les) finalit(s) vise(s),
la Commission s'attend ce que le responsable du traitement indique explicitement pour quelle(s)
raison(s) les moyens du traitement choisis sont moins intrusifs que les alternatives.

13. Lors de l'analyse de la proportionnalit, le responsable du traitement doit galement examiner

l'efficacit du traitement envisag (peut-on raisonnablement esprer que le traitement envisag
atteindra sa finalit (lgitime) ?). Enfin, le responsable du traitement doit aussi veiller maintenir un
quilibre adquat entre les intrts pertinents 13.

D) valuation des risques

- La notion de "risque"

14. La notion de "risque" peut tre interprte de plusieurs faons. Dans la littrature, on dcrit
gnralement la notion de "risque" comme la possibilit ( probabilit) qu'une menace dtermine
se prsente, avec pour consquence un impact dtermin (gravit)14.

12
Voir galement l'Article 29 Data Protection Working Party, "Opinion 03/2013 on purpose limitation", 2 avril 2013, p. 15-16.
13
L'valuation de l'quilibre d'intrts ce stade de l'AIPD ne sera gnralement que provisoire, tant donn qu'elle ne tient
pas encore compte des mesures de protection vises (cf. ci-dessous aux points 25-26).
14
Voir par ex. I. Naumann (ed.), "Privacy and Security Risks when Authenticating on the Internet with European eID Cards",
ENISA, 26 novembre 2009. Voir galement ISO, "Management du risque Vocabulaire", ISO Guide 73:2009 ("un risque est
souvent exprim en termes de combinaison des consquences d'un vnement (incluant des changements de circonstances)
et de sa vraisemblance").
 Recommandation [numro]//[anne] - - 8/27

- La notion d' "apprciation du risque"15

15. La notion d' "apprciation du risque" au sens de ISO Guide 73:2009 renvoie l'ensemble du
processus d'identification des risques (1), d'analyse du risque (2) et d'valuation du risque (3)16.
L'identification des risques renvoie au processus de recherche, de reconnaissance et de description
des risques17. L'analyse du risque renvoie au processus mis en uvre pour comprendre la nature
d'un risque et pour dterminer le niveau de risque18. L'valuation du risque est le processus de
comparaison des rsultats de l'analyse du risque avec les critres de risque afin de dterminer si le
risque et/ou son importance sont acceptables ou tolrables19.

16. En matire de gestion des risques, on peut en rgle gnrale faire une distinction entre le risque
"inhrent" et le risque "rsiduel". Le risque "inhrent" renvoie la probabilit qu'un impact ngatif
se produise lorsqu'aucune mesure de protection n'est prise. Le risque "rsiduel renvoie au contraire
la probabilit qu'un impact ngatif se produise, malgr les mesures qui sont prises pour influencer
(limiter) le risque (inhrent)20.

- De quels risques s'agit-il ?

17. L'article 35(1) du RGPD renvoie une catgorie particulire de risques, savoir les risques pour
les droits et liberts des personnes physiques. Selon le Groupe 29, les termes "pour les droits et
liberts des personnes physiques" dans le RGPD21 concernent principalement le droit au respect de la
vie prive mais ils peuvent galement se rapporter d'autres droits et liberts fondamentaux, comme
la libert d'expression, la libert de pense, de conscience et de religion, l'interdiction de discrimination
et le droit la libert de mouvement 22.

18. Plusieurs traitements de donnes peuvent comporter plusieurs risques (inhrents) pour les droits
et liberts des personnes physiques. Le considrant (75) du RGPD numre, titre d'exemple, un
certain nombre de circonstances dans lesquelles les traitements engendrent des risques pour les droits
et liberts des personnes physiques, savoir :

15
Au sens de la norme ISO, "Management du risque Vocabulaire", ISO Guide 73:2009.
16
ISO, "Management du risque Vocabulaire", ISO Guide 73:2009.
17
Id.
18
Id.
19
Id.
20
Voir galement ISO, "Management du risqu Vocabulaire", ISO Guide 73:2009 qui dfinit le "risque rsiduel" comme "risque
subsistant aprs le traitement du risque".
21
Voir les considrants (74) (77) inclus du RGPD.
22
Article 29 Data Protection Working Party, Statement on the role of a risk-based approach in data protection legal
frameworks, WP218, 30 mai 2014, p. 4.
 Recommandation [numro]//[anne] - - 9/27

- lorsque le traitement peut donner lieu une discrimination, un vol ou une usurpation
d'identit, une perte financire, une atteinte la rputation, une perte de confidentialit
de donnes protges par le secret professionnel, un renversement non autoris du
processus de pseudonymisation ou tout autre dommage conomique ou social important ;

- lorsque les personnes concernes pourraient tre prives de leurs droits et liberts ou
empches d'exercer le contrle sur leurs donnes caractre personnel ;

- lorsque le traitement concerne des donnes caractre personnel qui rvlent l'origine raciale
ou ethnique, les opinions politiques, la religion ou les convictions philosophiques,
l'appartenance syndicale, ainsi que des donnes gntiques, des donnes concernant la sant
ou des donnes concernant la vie sexuelle ou des donnes relatives des condamnations
pnales et des infractions, ou encore des mesures de sret connexes ;

- lorsque des aspects personnels sont valus, notamment dans le cadre de l'analyse ou de la
prdiction d'lments concernant le rendement au travail, la situation conomique, la sant,
les prfrences ou centres d'intrt personnels, la fiabilit ou le comportement, la localisation
ou les dplacements, en vue de crer ou d'utiliser des profils individuels ;

- lorsque le traitement porte sur des donnes caractre personnel relatives des personnes
physiques vulnrables, en particulier les enfants ; ou

- lorsque le traitement porte sur un volume important de donnes caractre personnel et

touche un nombre important de personnes concernes.

- Besoin d'une analyse contextuelle

19. La Commission souligne qu'une apprciation du risque doit toujours se faire en fonction de
l'ensemble des circonstances particulires de chaque traitement (ou groupe d'oprations de traitement
similaires23). Ainsi, le considrant (76) du RGPD dispose ce qui suit :

Il convient de dterminer la probabilit et la gravit du risque pour les droits et liberts de la

personne concerne en fonction de la nature, de la porte, du contexte et des finalits du
traitement.

C'est donc en fonction de l'ensemble des circonstances particulires de chaque traitement que le
responsable du traitement doit valuer les risques pour la vie prive et pour les droits et liberts des
personnes et doit prendre les mesures adquates pour garantir l'application des dispositions du
rglement.

23
Conformment l'article 35(1) du RGPD, une AIPD peut porter sur un ensemble d'oprations de traitement similaires qui
prsentent des risques levs similaires (voir ci-aprs le point 33).
 Recommandation [numro]//[anne] - - 10/27

- Quelle mthodologie faut-il appliquer lors de l'valuation et de la gestion des risques ?

20. En rgle gnrale, le responsable du traitement est libre de choisir la mthodologie qu'il souhaite
utiliser, condition que celle-ci rponde un certain nombre de caractristiques minimales de
confidentialit et d'objectivit24 et tienne compte des lments minimaux prescrits par le RGPD.
Il appartient au responsable du traitement d'utiliser une mthodologie qui lui permet de respecter les
exigences du RGPD.

21. La Commission estime en outre important que chaque responsable du traitement qui entreprend
une AIPD utilise une mthodologie qui soit adapte aux besoins et au contexte de sa propre entreprise.

22. Nanmoins, la Commission estime qu'une bonne gestion des risques comporte plusieurs
caractristiques minimales qui sont numres dans l'annexe 1 de la prsente recommandation.

23. En outre, la Commission recommande vivement que le responsable du traitement se base sur des
mthodologies dj existantes en matire de gestion des risques. L'utilisation de normes
internationales, telles que celles dveloppes par l'Organisation internationale de normalisation
(ISO)25, ainsi que de codes de conduite labors ou agrs au niveau europen, est particulirement
importante dans ce cadre26.

24. Quelle que soit la mthodologie finalement retenue par le responsable du traitement, la
Commission estime indispensable que ce dernier indique explicitement quelle mthodologie a t
choisie et que celle-ci soit applique de manire cohrente tout au long du processus de l'AIPD.

E) Mesures vises

25. Une AIPD ne comprend pas uniquement une apprciation des risques mais aussi les mesures
vises afin de faire face aux risques, dont les garanties, les mesures de scurit et les mcanismes
pour assurer la protection des donnes caractre personnel et pour dmontrer que le prsent
rglement a t respect. Ce n'est qu'aprs la prise en considration des mesures de protection vises
que l'on peut valuer le risque rsiduel du traitement envisag.

24
Le considrant (76) du RGPD confirme le caractre objectif de cette valuation du risque l'gard du traitement et des
consquences de celui-ci pour les droits et liberts des personnes : "Le risque devrait faire l'objet d'une valuation objective
permettant de dterminer si les oprations de traitement des donnes comportent un risque ou un risque lev.
25
En particulier la norme ISO 31000 (Risk management) et la norme ISO 27005 (Information security risk management).
26
Voir galement ENISA, "ENISA Position on the Industry Proposal for a Privacy and Data Protection Impact Assessment
Framework for RFID Applications of March 31, 2010", juillet 2010, p. 6, qui peut tre consulte via le lien
https://www.enisa.europa.eu/media/news-items/enisa-opinion-on-pia. En ce qui concerne les codes de conduite agrs ou
labors au niveau europen, voir galement ci-aprs les points 60 et suivants.
 Recommandation [numro]//[anne] - - 11/27

26. Dans le cadre de l'valuation des mesures vises afin de faire face aux risques, le responsable du
traitement doit s'assurer que les droits et intrts lgitimes des personnes concernes et des autres
personnes sont dment respects27.

4. Circonstances dans lesquelles une AIPD est obligatoire

27. Le RGPD ne requiert pas que le responsable du traitement procde une AIPD pour chaque
traitement de donnes caractre personnel. En rgle gnrale, une AIPD n'est requise que lorsque
le traitement de donnes, compte tenu de la nature, de la porte, du contexte et des finalits du
traitement, est susceptible d'engendrer un risque lev pour les droits et liberts des personnes
physiques28. En outre, l'article 35(3) du RGPD numre un certain nombre de cas o une AIPD est
toujours requise (pour lesquels le lgislateur europen a donc tabli qu'il s'agissait de traitements qui
taient par nature "susceptibles d'engendrer un risque lev"). Enfin, l'article 35(4) et l'article 35(5)
du RGPD offrent aux contrleurs nationaux la possibilit d'tablir des listes des types d'oprations de
traitement pour lesquelles une AIPD est requise ou non.

A) Notion de "susceptible d'engendrer un risque lev" pour les droits et liberts des personnes
physiques

28. L'article 35(1) du RGPD dispose que :

Lorsqu'un type de traitement, en particulier par le recours de nouvelles technologies, et compte

tenu de la nature, de la porte, du contexte et des finalits du traitement, est susceptible
d'engendrer un risque lev pour les droits et liberts des personnes physiques, le responsable du
traitement effectue, avant le traitement, une analyse de l'impact des oprations de traitement
envisages sur la protection des donnes caractre personnel. Une seule et mme analyse peut
porter sur un ensemble d'oprations de traitement similaires qui prsentent des risques levs
similaires.

29. La notion de "susceptible d'engendrer un risque lev" n'est pas dfinie plus en dtail dans le
RGPD. La Commission est consciente du fait que des organisations diffrentes utilisent des chelles et
des mthodologies diffrentes lorsqu'elles procdent une valuation des risques. Il est ds lors
possible que l'interprtation de ces valeurs diffre, selon l'chelle de risque et la mthodologie utilises.
La notion de "susceptible d'engendrer un risque lev" au sens du RGPD ne correspond toutefois pas
ncessairement la notion de "susceptible d'engendrer un risque lev" telle qu'on la retrouve dans
d'autres modles de gestion des risques.

27
Article 35(7)d du RGPD in fine.
28
Article 35(1) du RGPD.
 Recommandation [numro]//[anne] - - 12/27

30. La Commission estime que la notion de "susceptible d'engendrer un risque lev" renvoie tout
d'abord aux traitements de donnes dont il est vraisemblable qu'ils puissent avoir des consquences
nfastes considrables pour les liberts et droits fondamentaux des personnes physiques si l'on ne
prvoit pas de mesures de protection adquates. Une "consquence considrable" signifie que, dans
le cas o le risque se produirait, la personne concerne serait sensiblement touche dans l'exercice
ou la jouissance de ses liberts et droits fondamentaux. C'est par exemple le cas lorsqu'il est
vraisemblable que le traitement puisse engendrer les consquences nfastes qui sont numres au
considrant (75) du RGPD29.

31. Contrairement l'article 36 du RGPD, l'lment "susceptible d'engendrer un risque lev" qui
donne lieu l'obligation de procder une AIPD concerne le risque "inhrent" du traitement de
donnes envisag. Le "risque rsiduel" n'intervient que dans le cadre de l'application de l'obligation
de procder une consultation pralable de l'autorit de contrle (voir ci-dessous aux points 40 et
suivants)30.

B) Situations dfinies l'article 35(3) du RGPD

32. L'article 35(3) du RGPD numre trois situations dans lesquelles une AIPD est toujours requise :

a) en cas dvaluation systmatique et exhaustive des aspects personnels de lindividu reposant

sur du profilage et sur la base de laquelle seront prises des dcisions de nature produire des
effets juridiques en ce qui concerne les personnes concernes ou les impacter de manire
importante ;

b) en cas de traitement grande chelle de catgories particulires de donnes vises

larticle 9, paragraphe 1, ou de donnes caractre personnel relatives des condamnations
pnales et des infractions vises l'article 10 ; ou

c) en cas de surveillance systmatique grande chelle d'une zone accessible au public 31.

Dans ces cas-l, il faudra toujours faire une AIPD pralable. Le considrant (91) du RGPD prcise que
lobligation de conduire une analyse dimpact pralable ne sapplique pas aux traitements de donnes
caractre personnel de patients ou de clients effectus par un mdecin, un autre professionnel de
la sant ou encore un avocat. Dans de tels cas, le traitement ne peut tre considr comme effectu
grande chelle.

29
Voir ci-dessus, le point 18.
30
En ce qui concerne la distinction entre les risques "inhrents" et les risques "rsiduels", voir ci-dessus le point 16.
31
Pour l'interprtation des notions en NL de "systematisch", "stelselmatig" et "grootschalig" et en FR de "systmatique" et de
" grande chelle", la Commission renvoie aux directives du Groupe 29 relatives au dlgu la protection des donnes
(Article 29 Data Protection Working Party, "Guidelines on Data Protection Officers", WP 243, 13 dcembre 2016, p. 7-8).
La Commission fait remarquer que dans la version anglaise et dans la version franaise du RGPD, tant l'alina (a) qu'
l'alina (c), on utilise respectivement "systematic" et "systmatique".
 Recommandation [numro]//[anne] - - 13/27

33. Il existe des cas dans lesquels il peut tre raisonnable et utile d'largir la porte de l'AIPD au-del
d'un projet unique, par exemple lorsque des autorits publiques ou organismes publics entendent
mettre en place une application ou une plateforme de traitement commune, ou lorsque plusieurs
responsables du traitement envisagent de crer une application ou un environnement de traitement
communs tout un secteur ou segment professionnel, ou pour une activit transversale largement
utilise32. La Commission encourage les responsables du traitement qui ont l'intention de crer une
application ou une plateforme de traitement commune raliser une AIPD sur une base commune
(dans les cas o une AIPD est requise). La mme recommandation s'applique galement aux
responsables du traitement qui, dans le chef de leurs activits, font partie d'une organisation ou d'une
association de coordination (comme par ex. les coles, clubs sportifs, mouvements de jeunesse,
mdecins, avocats, journalistes, ...) lorsque chacun de ces responsables du traitement vise toute une
srie de traitements similaires qui impliquent des risques levs similaires.

C) Les listes de l'autorit de contrle

34. L'article 35(4) du RGPD oblige chaque autorit de contrle tablir une liste des types d'oprations
de traitement pour lesquelles une AIPD est requise et communiquer ensuite cette liste au Comit
europen de la protection des donnes (CEPD). Un projet de liste des types d'oprations de traitement
pour lesquelles une AIPD est requise figure en annexe 2.

35. En outre, l'article 35(5) du RGPD permet galement d'tablir une liste des types d'oprations de
traitement pour lesquelles aucune AIPD n'est requise. L'tablissement d'une telle liste n'est pas
obligatoire mais si elle est tablie, elle doit tre soumise au CEPD. Un projet de liste des types
d'oprations de traitement qui sont dispenses de l'obligation de procder une AIPD figure en
annexe 3.

36. La Commission souhaite insister sur le fait que les listes susmentionnes ne portent aucunement
prjudice l'obligation gnrale du responsable du traitement de toujours prvoir, en vertu de
l'article 24(1) du RGPD, des mesures techniques et organisationnelles appropries pour garantir que
le traitement est excut conformment au prsent rglement, compte tenu notamment des risques
pour les droits et liberts des personnes physiques. Cette obligation gnrale d'apprciation du risque
et de gestion des risques s'applique sans prjudice de l'existence d'une liste de traitements spciaux
pour lesquels une AIPD est requise (ou de l'existence d'une liste des oprations de traitement pour
lesquelles une AIPD n'est pas requise).

32
Considrant (92) du RGPD.
 Recommandation [numro]//[anne] - - 14/27

37. De plus, les listes ne sont nullement exhaustives : une AIPD est toujours requise ds que les
conditions d'application dfinies l'article 35 du RGPD sont remplies.

38. Les projets de listes repris en annexes 2 et 3 doivent ds lors surtout tre considrs comme des
points de dpart qui constituent une base supplmentaire lorsque le responsable du traitement
cherche vrifier si l'excution d'une AIPD est requise.

39. Enfin, la Commission attire encore l'attention sur le fait que ces listes sont volutives et peuvent
tre adaptes s'il s'avre qu'elles n'atteignent pas leur objectif.

5. Circonstances dans lesquelles une consultation pralable est obligatoire

40. L'article 36(1) du RGPD dispose que :

"Le responsable du traitement consulte l'autorit de contrle pralablement au traitement

lorsqu'une analyse d'impact relative la protection des donnes effectue au titre de
l'article 35 indique que le traitement prsenterait un risque lev si le responsable du
traitement ne prenait pas de mesures pour attnuer le risque.

41. Il ressort clairement de la formulation de l'article 36(1) du RGPD qu'une consultation pralable
n'est obligatoire que lorsque le risque rsiduel est lev. Ce n'est que lorsqu'il s'avre que le traitement
envisag prsenterait un risque lev si le responsable du traitement ne prenait pas de mesures
efficaces d'attnuation des risques que le traitement doit pralablement tre soumis l'autorit de
contrle. Si le risque peut tre limit efficacement l'aide de mesures techniques et organisationnelles
appropries, aucune consultation pralable ne doit avoir lieu 33.

42. Si lautorit de contrle est davis que le traitement envisag nest pas conforme au rglement ou
que les risques ne sont pas suffisamment identifis ou attnus, elle fournit par crit, dans un dlai
maximum de huit semaines compter de la rception de la demande de consultation, un avis crit au
responsable du traitement et, le cas chant, au sous-traitant, et peut faire usage des pouvoirs viss
l'article 58. Ce dlai de 8 semaines peut tre prolong de six semaines 34. Ces dlais peuvent tre
suspendus jusqu' ce que l'autorit de contrle ait obtenu les informations qu'elle a demandes pour
les besoins de la consultation (article 36(2) du RGPD).

33
La Commission souligne que la notion de "mesures organisationnelles" ne renvoie pas uniquement la communication et
la hirarchie au sein d'une entreprise. Les procdures et directives l'attention du personnel sont galement essentielles cet
gard.
34
Dans le cas d'une telle prolongation, l'autorit de contrle informe le responsable du traitement et, le cas chant, le sous-
traitant de la prolongation du dlai ainsi que des motifs du retard notamment, dans un dlai d'un mois compter de la rception
de la demande de consultation.
 Recommandation [numro]//[anne] - - 15/27

43. Lorsqu'une consultation pralable est obligatoire, le responsable du traitement fournit les
informations suivantes (article 36(3) du RGPD) :

a) le cas chant, les responsabilits respectives du responsable du traitement, des

responsables conjoints et des sous-traitants participant au traitement, en particulier pour le
traitement au sein d'un groupe d'entreprises ;

b) les finalits et les moyens du traitement envisag ;

c) les mesures et les garanties prvues afin de protger les droits et liberts des personnes
concernes en vertu du prsent rglement ;

d) le cas chant, les coordonnes du dlgu la protection des donnes ;

e) l'analyse d'impact relative la protection des donnes prvue l'article 35 ; et

f) toute autre information que l'autorit de contrle demande.

6. Les acteurs concerns

A) Le responsable du traitement

44. L'obligation de procder une AIPD incombe en premier lieu au responsable du traitement. Il est
celui qui endosse la responsabilit finale et est responsable si l'AIPD n'est pas (ou pas correctement)
ralise lorsque celle-ci est obligatoire en vertu de l'article 35 du RGPD.

45. La Commission estime indispensable que le responsable du traitement veille ce que les bonnes
personnes au sein de l'entreprise soient impliques dans le processus d'apprciation du risque.
Afin d'viter que le processus d'apprciation du risque soit ramen un pur exercice crit, ceux qui
sont les mieux placs pour contribuer une apprciation du risque de qualit doivent tre impliqus
en temps opportun dans le processus d'identification, d'valuation et de gestion des risques.
La Commission pense ici en premier lieu non seulement au dlgu la protection des donnes et/ou
au conseiller en scurit mais galement aux concepteurs de nouvelles applications, ceux qui
prennent des dcisions stratgiques en matire de dveloppement de projets et aux membres du
personnel (ou leurs reprsentants) qui utiliseront les donnes caractre personnel en question
dans le cadre de l'exercice de leurs missions.

46. En outre, la Commission recommande galement que la plus haute autorit au sein de
l'organisation du responsable du traitement soit suffisamment implique dans le processus
d'apprciation du risque. L'apprciation du risque (avec ou sans AIPD), l'approbation d'une AIPD ou
la dcision de ne pas procder une AIPD serait par exemple officiellement soumise l'aval des
membres de la direction.
 Recommandation [numro]//[anne] - - 16/27

B) Le sous-traitant

47. Le sous-traitant doit, en fonction de la nature du traitement, assister le responsable du traitement

dans l'excution d'une AIPD. Dans les prcdentes versions du projet du RGPD, il tait mme
explicitement prvu que l'obligation de procder une AIPD en tant que telle reposerait galement
directement sur le sous-traitant. Dans la version finale du RGPD, il est toutefois stipul que le contrat
entre le responsable du traitement et le sous-traitant doit tablir que le sous-traitant :

aide le responsable du traitement garantir le respect des obligations prvues aux articles 32
36, compte tenu de la nature du traitement et des informations la disposition du sous-
traitant35.

48. Le considrant (95) confirme en outre que le sous-traitant doit aider le responsable du traitement,
"si ncessaire et sur demande", assurer le respect des obligations dcoulant de la ralisation d'une
AIPD et d'une consultation pralable de l'autorit de contrle.

49. la lumire des dispositions susmentionnes, l'autorit de contrle tiendra compte, dans le cadre
de l'valuation de l'obligation d'assistance du sous-traitant, de (1) la nature du traitement ; (2) des
informations mises disposition du sous-traitant ; (3) de l'opportunit de l'aide du sous-traitant afin
de parvenir une appprciation et une gestion des risques correctes et de qualit.

C) Le dlgu la protection des donnes

50. La Commission estime qu'il est vident que le dlgu la protection des donnes, lorsque celui-ci
a t dsign, assiste le responsable du traitement et le conseille dans l'excution d'une AIPD.
L'article 35(2) du RGPD confirme explicitement que lorsqu'un dlgu la protection des donnes a
t dsign, le responsable du traitement demandera conseil auprs de lui lorsqu'il effectue une AIPD.

51. Comme dj indiqu ci-dessus, la Commission estime indispensable que le responsable du

traitement prenne les mesures ncessaires afin de veiller ce que les bonnes personnes au sein de
l'entreprise soient impliques dans le processus d'apprciation du risque. La Commission juge ds lors
qu'il n'est pas souhaitable que le dlgu la protection des donnes rdige seul une AIPD, sans la
contribution des acteurs pertinents.

35
Article 28(3)f du RGPD.
 Recommandation [numro]//[anne] - - 17/27

D) Les personnes concernes ou leurs reprsentants

52. L'article 35(9) du RGPD dispose que :

Le cas chant, le responsable du traitement demande l'avis des personnes concernes ou de

leurs reprsentants au sujet du traitement prvu, sans prjudice de la protection des intrts
gnraux ou commerciaux ou de la scurit des oprations de traitement..

53. La Commission fait remarquer que la lecture spare des versions anglaise, franaise et
nerlandaise de l'article 35(9) pourrait donner lieu des interprtations divergentes. L o la version
nerlandaise indique que la consultation des personnes concernes ou de leurs reprsentants doit se
faire "in voorkomend geval", le texte anglais indique qu'une telle consultation doit se faire " where
appropriate". Le texte franais indique quant lui "le cas chant.

54. La Commission estime que l'ide derrire la formulation choisie est univoque, plus prcisment que
la dcision de procder ou non la consultation des personnes concernes (ou de leurs reprsentants)
revient en premier lieu au responsable du traitement. Sa dcision est toutefois soumise un contrle
marginal de l'autorit de contrle, vu son pouvoir gnral d'application des rgles. En d'autres termes,
la consultation des personnes concernes ou de leurs reprsentants n'est pas entirement facultative
pour le responsable du traitement. L o il existe suffisamment de motifs importants de procder
une telle consultation, compte tenu de la nature, du contexte, de la porte et de la finalit du
traitement, ainsi que de l'impact potentiel sur les personnes concernes, la Commission estime
ncessaire qu'une telle consultation ait effectivement lieu.

E) L'autorit de contrle

55. Comme cela a dj t mentionn, une consultation pralable n'est obligatoire que s'il s'avre que
le risque rsiduel du traitement envisag est lev. Si le risque peut tre limit efficacement l'aide
de mesures techniques et organisationnelles appropries, aucune consultation pralable ne doit avoir
lieu.

56. La Commission souscrit au choix politique du lgislateur europen qui consiste ne soumettre que
les cas problmatiques un avis pralable. Il s'agit d'une application du "principe de responsabilit"
et on souligne galement que l'autorit de contrle doit pouvoir concentrer ses activits l o le besoin
se fait le plus sentir. Cela n'empche pas que le responsable du traitement doit tre prt soumettre,
la demande de l'autorit de contrle, une AIPD pour tous ces traitements susceptibles d'engendrer
un risque lev pour les droits et liberts des personnes physiques.

57. La Commission estime que les explications contenues dans la prsente recommandation ainsi que
les directives dictes au niveau europen (en particulier par le Groupe de travail Article 29 et l'ENISA)
 Recommandation [numro]//[anne] - - 18/27

et les normes internationales pertinentes offrent une assise trs solide au responsable du traitement
pour raliser correctement une gestion des risques.

7. Dispositions particulires

A) Traitement en vertu d'une obligation lgale ou de l'intrt public

58. L'article 35(10) du RGPD prvoit deux circonstances dans lesquelles l'obligation de procder une
AIPD n'est potentiellement pas d'application, savoir :

- lorsque le traitement envisag est ncessaire au respect d'une obligation lgale laquelle le
responsable du traitement est soumis ; et

- lorsque le traitement envisag est ncessaire l'excution d'une mission d'intrt public ou
relevant de l'exercice de l'autorit publique dont est investi le responsable du traitement.

Afin que cette exception soit d'application, il faut toutefois que :

- le traitement trouve son fondement dans le droit de l'Union ou dans le droit de l'tat membre
auquel le responsable du traitement est soumis ;

- le traitement spcifique ou l'ensemble des oprations de traitement en question soient rgis

dans ce cadre ; et

- une AIPD ait dj t effectue en tant qu'lment d'une analyse d'impact gnrale dans le
cadre de l'adoption de ce fondement 36.

En outre, le lgislateur est toujours libre de dterminer qu'une AIPD doit toujours tre ralise avant
le traitement37.

59. La Commission rappelle que lautorit de contrle doit en gnral tre consulte lors de la
prparation dune mesure lgislative ou rglementaire qui concerne la protection des donnes
caractre personnel38. L'existence ou non d'une consultation pralable ne doit toutefois pas porter
prjudice l'obligation gnrale du responsable du traitement de raliser une gestion des risques,
conformment l'article 24(1) du RGPD. De plus, la Commission estime que la ralisation d'une AIPD
(complmentaire) dans certains cas peut toujours tre opportune ou ncessaire, en particulier lorsque
lors de la prparation d'une mesure lgislative ou rglementaire, on n'a aucune notion claire des
traitements de donnes qui auront lieu dans le cadre de l'excution.

36
Le considrant (93) apporte un peu plus de lumire sur cette disposition : "Au moment de l'adoption de la lgislation nationale
rgissant les missions de l'autorit publique ou de l'organisme public concerns ainsi que l'opration ou l'ensemble d'oprations
de traitement en question, les tats membres peuvent estimer qu'une telle analyse est ncessaire pralablement au traitement".
37
Article 35(10) du RGPD in fine.
38
Voir l'articles 57(1)c du RGPD.
 Recommandation [numro]//[anne] - - 19/27

B) Codes de conduite

60. L'article 35(8) du RGPD dispose que :

Le respect, par les responsables du traitement ou sous-traitants concerns, de codes de conduite

approuvs viss l'article 40 est dment pris en compte lors de l'valuation de l'impact des
oprations de traitement effectues par lesdits responsables du traitement ou sous-traitants, en
particulier aux fins d'une analyse d'impact relative la protection des donnes.

61. L'article 40 du RGPD dispose que "les tats membres, les autorits de contrle, le comit et la
Commission encouragent l'laboration de codes de conduite destins contribuer la bonne
application du prsent rglement, compte tenu de la spcificit des diffrents secteurs de traitement
et des besoins spcifiques des micro, petites et moyennes entreprises . Conformment l'article 35(8)
du RGPD, le responsable du traitement doit prendre en considration de tels codes de conduite
lorsqu'une AIPD est ralise. La Commission attire enfin encore l'attention sur le fait que la Commission
europenne peut, au moyen d'un acte d'excution, rendre obligatoires certains codes de conduite,
aprs approbation de ceux-ci par le CEPD39.

C) Contrle

62. Le responsable du traitement est tenu de vrifier, si ncessaire, si le traitement est effectu
conformment l'AIPD. Un tel contrle doit au moins avoir lieu lorsqu'il est question d'un changement
du risque qu'impliquent les traitements40.

63. Vu la constatation selon laquelle les risques voluent gnralement avec le temps, la Commission
estime opportun que le responsable du traitement inclue lui-mme un contrle priodique de l'AIPD
ralise. Dans le cadre d'une bonne gestion des risques, la Commission s'attend ce que le
responsable du traitement effectue un contrle au moins tous les 2 ans. La Commission recommande
galement que le rsultat du contrle soit officiellement soumis l'approbation des membres de la
direction ou des cadres de l'organisation du responsable du traitement41.

64. Enfin, la Commission attire l'attention sur le fait qu'il existe aussi d'autres circonstances pouvant
donner lieu la rvision d'une AIPD ralise prcdemment, comme une modification des moyens de
traitement utiliss ou une volution de l'tat de la technique (par ex. lorsque de nouvelles techniques
de minimisation des donnes sont disponibles) ou la dcouverte d'une nouvelle vulnrabilit dans la

39
Article 40(9) du RGPD.
40
Article 35(11) du RGPD.
41
Voir galement ci-dessus le point 46.
 Recommandation [numro]//[anne] - - 20/27

scurit qui justifient l'adoption de nouvelles mesures de scurit ou de mesures de scurit

complmentaires42.

L'Administrateur f.f., Le Prsident,

An Machtens Willem Debeuckelaere

42
Voir galement F. Bieker, M. Friedwald, M. Hansen, H. Obersteller et M. Rost, A Process for Data Protection Impact
Assessment Under the European General Data Protection Regulation, in S. Schiffner et al. (Eds.), APF (Annual Privacy Forum)
2016, 2016, p. 24.
 Recommandation [numro]//[anne] - - 21/27

8. Annexe 1 : Caractristiques minimales d'une bonne gestion des risques

En rgle gnrale, le responsable du traitement est libre d'utiliser la procdure et la mthodologie qu'il
souhaite lors de l'apprciation et de la gestion des risques, condition que celle-ci rponde un
certain nombre de caractristiques minimales de fiabilit et d'objectivit43.

Afin d'viter qu'une situation d'inscurit juridique ne survienne, dfaut d'lments objectifs
permettant de contrler la qualit d'une mthodologie dtermine, la Commission formule ci-aprs
plusieurs caractristiques minimales. Ces lments ne sont pas neufs mais taient dj
documents ailleurs44. La Commission souligne qu'il s'agit ici de caractristiques minimales qui, en soi,
ne comportent aucune garantie que le(s) traitement(s) vis(s) aura (auront) lieu conformment au
RGPD.

1. taye mthodologiquement

La gestion des risques et l'apprciation des risques doivent tre tayes mthodologiquement, de
prfrence l'aide de mthodologies dj existantes en matire de gestion des risques. L'utilisation de
normes internationales, telles que celles dveloppes par l'Organisation internationale de
normalisation (ISO)45, ainsi que de codes de conduite labors ou agrs au niveau europen, est
particulirement importante dans ce cadre 46.

Le responsable du traitement doit explicitement indiquer quelle mthodologie a t choisie et doit

veiller ce que celle-ci soit applique de manire cohrente tout au long du processus de l'AIPD.

2. Structure

Une bonne gestion des risques se droule de manire structure, o l'on peut gnralement distinguer
les tapes suivantes :

43
Le considrant (76) du RGPD confirme le caractre objectif de cette apprciation du risque l'gard du traitement et des
consquences de celui-ci pour les droits et liberts des personnes : "Il convient de dterminer la probabilit et la gravit du
risque pour les droits et liberts de la personne concerne en fonction de la nature, de la porte, du contexte et des finalits
du traitement. Le risque devrait faire l'objet d'une valuation objective permettant de dterminer si les oprations de traitement
des donnes comportent un risque ou un risque lev.
44
Voir ISACA, Privacy Audit - Methodology and Related Considerations, Isaca Journal 2014 ; Volume 1, qui peut tre consult
via http://www.isaca.org/Journal/archives/2014/Volume-1/Documents/Privacy-Audit-Methodology-and-Related-
Considerations_joa_Eng_0114.pdf, ENISA, ENISA Position on the Industry Proposal for a Privacy and Data Protection Impact
Assessment Framework for RFID Applications of March 31, 2010", juillet 2010, p. 6-9, qui peut tre consulte via
https://www.enisa.europa.eu/media/news-items/enisa-opinion-on-pia et OCDE, "Digital Security Risk Management for
Economic and Social Prosperity", OECD Recommendation and Companion Document, 2015, qui peut tre consulte sur
http://www.oecd.org/sti/ieconomy/digital-security-risk-management.pdf.
45
En particulier la norme ISO 31000 (Risk management) et la norme ISO 27005 (Information security risk management).
46
Voir galement ENISA, ENISA Position on the Industry Proposal for a Privacy and Data Protection Impact Assessment
Framework for RFID Applications of March 31, 2010", juillet 2010, p. 6.
 Recommandation [numro]//[anne] - - 22/27

dfinition du contexte pertinent (constitu des paramtres externes et internes qui doivent
tre pris en considration dans le cadre de la gestion des risques) ;
dfinition des critres d'valuation des risques pour les droits et liberts des personnes
physiques ;
identification et analyse des risques (y compris l'identification des vulnrabilits, des menaces
et l'attribution d'une valeur de risque) ;
dfinition de valeurs de risque acceptables (y compris une dtermination des valeurs de
risques qui ne sont pas acceptables) ; et
identification de mesures d'attnuation des risques appropries (c'est--dire les mesures
techniques et organisationnelles qui sont ncessaires pour ramener le risque un niveau
acceptable).

3. Sur mesure

Une apprciation du risque est toujours sur mesure. Une bonne apprciation du risque ne consiste pas
reproduire simplement des analyses ralises prcdemment mais exige une valuation concrte
sur la base du contexte spcifique (c'est--dire en rfrence la nature, au champ d'application, au
contexte et aux finalits du traitement). Rien n'empche par contre qu'un responsable du traitement
utilise des procdures ou des modles qui ont t labors par (ou conjointement avec) d'autres
entits (par ex. au niveau d'un secteur ou d'une branche d'activit dtermins) lors de l'excution de
l'apprciation du risque.

4. Comprhensible

Le rsultat d'une apprciation des risques doit tre lisible et accessible un public aussi large que
possible. Le rsultat ne peut pas tre seulement lisible pour des experts (en risques), des techniciens
ou du personnel spcialis. Des rsums succincts et des reprsentations visuelles (par ex. des
graphiques en couleur, des tableaux avec des chiffres) peuvent favoriser l'accessibilit de l'apprciation
des risques (tant son processus que sa transcription) 47.

5. Suffisamment nuance

Une apprciation du risque doit comporter suffisamment d'chelles afin de permettre une valuation
nuance des risques identifis48. Ne prvoir que trois chelles (bas, moyen, lev) pour apprcier les
risques est gnralement insuffisant pour donner lieu une apprciation correcte.

47
La Commission comprend que la documentation qui est gnre au cours du processus d'apprciation du risque puisse
prsenter un niveau suprieur de technicit qui peut ne pas tre immdiatement accessible aux personnes qui ne sont pas des
experts. Elle souligne seulement que le rsultat de l'apprciation du risque doit toujours tre lisible et accessible.
48
Voir par exemple ISACA, privacy Audit-Methodology and Related Considerations, Isaca Journal, Volume 1, 2014,
http://www.isaca.org/Journal/archives/2014/Volume-1/Documents/Privacy-Audit-Methodology-and-Related-
Considerations_joa_Eng_0114.pdf.
 Recommandation [numro]//[anne] - - 23/27

6. Communication et consultation

Un bon systme de gestion des risques implique ceux qui sont les mieux placs pour contribuer au
processus d'identification, d'analyse, d'valuation et de gestion des risques. La Commission pense ici
en premier lieu non seulement au dlgu la protection des donnes et/ou au conseiller en scurit
mais galement aux concepteurs de nouvelles applications, ceux qui prennent des dcisions
stratgiques en matire de dveloppement de projets et aux membres du personnel (ou leurs
reprsentants) qui utiliseront les donnes caractre personnel en question dans le cadre de l'exercice
de leurs missions.

7. Gestion et contrle

Un rapport dat et crit des apprciations du risque effectues doit tre rdig. Un organe mandat
interne qui prend les dcisions (par ex. le comit de direction, le comit stratgique ou le comit de
scurit, mandat par le conseil de direction) doit tre inform priodiquement du rsultat (ou du
statut) du processus d'apprciation du risque. Cet organe mandat doit approuver formellement
l'valuation des risques ainsi que les mesures visant attnuer les risques.

Le processus d'apprciation du risque ne peut toutefois pas tre rduit un simple processus
bureaucratique. Le responsable du traitement doit prendre des mesures adquates afin de veiller ce
que la bonne gestion des risques fasse partie de la "culture d'entreprise" du responsable du traitement.

Une apprciation du risque qui a t effectue doit tre contrle priodiquement et au moins en cas
de circonstances changeantes pouvant avoir une influence essentielle sur une apprciation qui a t
ralise dans le pass. Dans le cadre d'une bonne gestion des risques, la Commission s'attend ce
que le responsable du traitement effectue un contrle au moins tous les 2 ans. En outre, la Commission
recommande galement que le rsultat du contrle soit officiellement soumis l'approbation de la
plus haute autorit au sein de l'organisation du responsable du traitement.
 Recommandation [numro]//[anne] - - 24/27

9. Annexe 2 : Liste des types d'oprations de traitement pour lesquelles une AIPD est
requise (art. 35(4) du RGPD)

L'article 35(4) du RGPD oblige chaque autorit de contrle tablir une liste des types d'oprations
de traitement pour lesquelles une AIPD est requise et communiquer ensuite cette liste au Comit
europen de la protection des donnes (CEPD).

La Commission souhaite souligner que l'existence d'une liste de traitements particuliers pour lesquels
une AIPD est requise ne porte en rien prjudice l'obligation gnrale du responsable du traitement
de procder une bonne apprciation du risque et une bonne gestion des risques. En outre, la liste
ci-dessous n'est nullement exhaustive : une AIPD est toujours requises ds que les conditions
d'application dfinies l'article 35 du RGPD sont remplies. Enfin, la Commission attire encore l'attention
sur le fait que ces listes sont volutives et peuvent tre adaptes s'il s'avre qu'elles n'atteignent pas
leur objectif.

Outre les cas prvus l'article 35(2) du RGPD et compte tenu de l'exception prvue par l'article 35(10),
une AIPD sera toujours requise :

1. lorsque le traitement utilise la biomtrie afin d'identifier les personnes concernes ;

2. lorsque le traitement utilise des donnes gntiques ;

3. lorsque des donnes caractre personnel sont collectes auprs de tiers afin d'tre prises ensuite
en considration dans le cadre de la dcision de refuser ou de cesser le service ;

4. lorsque le traitement sert valuer la solvabilit financire de la personne concerne ou gnrer

tout autre profil de risque de la personne concerne qui est pris en considration dans le service
la personne concerne (ou dans le cadre de la dcision de refuser ou de cesser un service) ;

5. lorsque le traitement est de nature ce qu'une violation des donnes caractre personnel puisse
compromettre la sant physique de la personne concerne ;

6. lorsque le traitement concerne des donnes caractre personnel financires ou sensibles qui
sont (r)utilises pour une (des) finalit(s) autre(s) que celle(s) pour laquelle (lesquelles) elles ont
t collectes, sauf lorsque le traitement est soit bas sur le consentement de la personne
concerne, soit ncessaire pour remplir une obligation lgale qui incombe au responsable du
traitement ;

7. lorsque le traitement donne lieu une communication ou une mise disposition du public de
donnes caractre personnel relatives un grand nombre de personnes concernes ;
 Recommandation [numro]//[anne] - - 25/27

8. lorsque des aspects personnels sont valus pour notamment analyser ou prvoir des prestations
professionnelles, une situation conomique, la sant, des prfrences ou intrts personnels, la
fiabilit ou le comportement, la localisation ou les dplacements ;

9. lorsque des profils de personnes physiques sont tablis grande chelle ;

10. en cas de traitement grande chelle de donnes caractre personnel de personnes physiques
vulnrables, savoir les enfants, pour une (des) finalit(s) autre(s) que celle(s) pour laquelle
(lesquelles) elles ont t collectes ;

11. lorsque plusieurs responsables du traitement envisagent de crer une application ou un

environnement de traitement communs tout un secteur ou segment professionnel, ou pour une
activit transversale largement utilise et pour lesquels des donnes sensibles sont utilises ;

12. lorsque le traitement vise enregistrer les connaissances, les prestations, les aptitudes ou l'tat
de sant mentale d'lves et assurer le suivi de l'volution de ceux-ci, notamment l'aide de
systmes de suivi des lves, que ces lves soient dans l'enseignement primaire, secondaire,
tertiaire ou universitaire.
 Recommandation [numro]//[anne] - - 26/27

10. Annexe 3 : Liste des types d'oprations de traitement pour lesquelles aucune AIPD
n'est requise (art. 35(5) du RGPD)

L'article 35(5) du RGPD autorise l'autorit de contrle tablir une liste des types d'oprations de
traitement pour lesquelles une AIPD n'est pas requise.

La Commission souhaite souligner que la liste susmentionne ne porte en rien prjudice l'obligation
gnrale du responsable du traitement de procder une bonne apprciation du risque et une bonne
gestion des risques. Enfin, la Commission attire encore l'attention sur le fait que ces listes sont
volutives et peuvent tre adaptes s'il s'avre qu'elles n'atteignent pas leur objectif.

Pour les types de traitement suivants, une AIPD n'est pas requise :

1. les traitements de donnes caractre personnel qui concernent uniquement des donnes
qui sont ncessaires l'administration des salaires de personnes en service ou actives pour le
compte du responsable du traitement lorsque les donnes sont exclusivement utilises pour
cette administration des salaires, sont uniquement communiques aux destinataires qui sont
autoriss cet effet et ne sont pas conserves plus longtemps que le temps ncessaire aux
finalits du traitement ;

2. les traitements de donnes caractre personnel qui concernent exclusivement

l'administration du personnel en service ou actif pour le compte du responsable du traitement,
dans la mesure o ce traitement ne porte pas sur des donnes relatives la sant de la
personne concerne, ni sur des donnes sensibles ou judiciaires au sens des articles 9 et 10
du RGPD ou sur des donnes ayant pour but une valuation de la personne concerne et o
les donnes caractre personnel traites ne sont pas conserves plus longtemps que le
temps ncessaire l'administration du personnel et uniquement dans le cadre de l'application
d'une disposition lgale ou rglementaire ou sont communiques si ncessaire des tiers pour
la ralisation des finalits du traitement ;

3. les traitements de donnes caractre personnel qui concernent exclusivement la

comptabilit du responsable du traitement lorsque les donnes sont exclusivement utilises
pour cette comptabilit, lorsque le traitement concerne uniquement les personnes dont les
donnes sont ncessaires pour la comptabilit et lorsque les donnes caractre personnel
ne sont pas conserves plus longtemps que ncessaire la ralisation des finalits du
traitement et que les donnes caractre personnel traites sont uniquement communiques
des tiers dans le cadre de l'application d'une disposition lgale ou rglementaire ou lorsque
la communication est ncessaire pour la comptabilit ;
 Recommandation [numro]//[anne] - - 27/27

4. les traitements de donnes caractre personnel qui concernent exclusivement

l'administration des actionnaires et associs lorsque le traitement porte uniquement sur des
donnes ncessaires cette administration, lorsque ces donnes concernent uniquement des
personnes dont les donnes sont ncessaires cette administration, lorsque les donnes sont
communiques des tiers uniquement dans le cadre de l'application d'une disposition lgale
ou rglementaire et que les donnes caractre personnel ne sont pas conserves plus
longtemps que le temps ncessaire la ralisation des finalits du traitement ;

5. les traitements de donnes caractre personnel effectus par une fondation, association ou
toute autre institution sans but lucratif dans le cadre de ses activits habituelles, pour autant
que le traitement porte uniquement sur des donnes caractre personnel relatives ses
propres membres, relatives aux personnes avec lesquelles le responsable du traitement
entretient des contacts rguliers et relatives aux bnficiaires de la fondation, association ou
institution et qu'aucune personne ne soit enregistre sur la base de donnes obtenues de tiers
et que les donnes caractre personnel traites ne soient pas conserves plus longtemps
que le temps ncessaire l'administration des membres, des personnes de contact et des
bnficiaires et soient uniquement communiques des tiers dans le cadre de l'application
d'une disposition lgale ou rglementaire ;

6. les traitements de donnes caractre personnel qui concernent exclusivement

l'enregistrement de visiteurs dans le cadre d'un contrle d'accs lorsque les donnes traites
restent limites au nom et l'adresse professionnelle du visiteur, l'identification de son
employeur, l'identification du vhicule du visiteur, au nom, la section et la fonction de la
personne visite et au moment de la visite et o les donnes caractre personnel traites
peuvent exclusivement tre utilises pour le contrle d'accs et ne pas tre conserves plus
longtemps que le temps ncessaire cette finalit ;

7. les traitements de donnes caractre personnel effectus par des tablissements

d'enseignement en vue de la gestion de leurs relations avec leurs lves ou tudiants dans le
cadre de leurs missions d'enseignement, dans la mesure o le traitement ne porte que sur
des donnes caractre personnel relatives des lves ou tudiants potentiels, actuels et
anciens de l'tablissement d'enseignement en question et qu'aucune personne ne soit
enregistre sur la base de donnes obtenues de tiers et que ces donnes soient uniquement
communiques des tiers dans le cadre de l'application d'une disposition lgale ou
rglementaire et ne soient pas conserves plus longtemps que le temps ncessaire la gestion
de la relation avec l'lve ou l'tudiant.