5. Qui intervient lors de l’AIPD ?
L’AIPD s’effectue à l’initiative du responsable de traitement qui doit veiller à sa réalisation. Le DPO a un rôle essentiel, mais il n’est pas en soi « responsable » de l’AIPD. Celle-ci fait intervenir plusieurs populations de l’entreprise.
L’AIPD est conduite par le DPO ou, en l’absence de DPO désigné en tant que tel, par la personne ou le service en charge de la protection des données au sein de la PME (direction juridique, DSI), sous le contrôle et la responsabilité du responsable de traitement (c’est-à-dire concrètement, de la direction générale).
En cas de doute pour décider si une AIPD est nécessaire, et pour la mener à bien, l’entreprise peut naturellement recourir à des prestataires extérieurs : avocats spécialisés pour assister le DPO dans l’application des critères juridiques de décision, prestataire de sécurité informatique pour réaliser l’analyse, etc., sous réserve évidemment du respect des règles de confidentialité que requièrent le traitement en lui-même et son analyse.
Le plus souvent dans une PME pour laquelle la maîtrise des coûts est cruciale, il est nécessaire de savoir s’il sera plus efficace de recourir au DSI interne, ou de solliciter l’intervention d’un prestataire tiers.
Dans tous les cas, ce sont les seuls services techniques (DSI et, le cas échéant, responsables de la sécurité informatique), qui détermineront les étapes du déroulement de l’AIPD, par exemple sur le modèle EBIOS[1] élaboré pour l’analyse de risques, avec la participation du DPO.
Schématiquement : le fait de savoir si une AIPD est nécessaire relève de l’arbitrage juridique ; les modalités de son déroulement est entre les mains des experts techniques.
Un point à ne jamais oublier : si les traitements objets de l’AIPD sont confiés par l’entreprise, en tout ou partie, à un sous-traitant, ce dernier doit « assister le responsable du traitement » dans la réalisation de l’AIPD, comme le rappelle l’article 28 du RGPD a minima par la fourniture de toutes informations nécessaires sur les traitements sous-traités, voire en participant pleinement aux opérations d’analyse et aux remédiations subséquentes (cf. infra).
Ainsi, si l’entreprise recourt à une plateforme externalisée de scan et analyse des emails de ses salariés, proposée en cloud par son éditeur, cela signifie que concrètement, les traitements objets de l’AIPD sont menés par une autre entreprise que la PME responsable de traitement, sur un autre système d’information que le sien. Le recours au cloud, de plus en plus répandu pour les PME, ne les dispense pas de mener leur réflexion sur l’AIPD : en effet, bien souvent le recours au cloud permet de confier les traitements en cause à des prestataires qui ont fait profession de les sécuriser. Le recours au cloud est donc souvent vecteur d’une sécurité plus à propos, puisque spécifiquement pensée par le sous-traitant pour rassurer ses clients sur la conformité de ses services. Mais les fournisseurs ne sont pas tous aussi rigoureux les uns que les autres, et le RGPD fait obligation à la PME de s’assurer qu’elle recourt à un prestataire sérieux, qui présente les garanties appropriées.
En l’espèce, si l’entreprise n’a pas reçu un conseil circonstancié du prestataire cloud lui-même, alertant sa cliente de la nécessité qu’elle mène une AIPD, il existe probablement un vrai risque que sa technologie ne soit pas suffisamment sécurisée, et que ce fournisseur n’ait lui-même pas pleinement pris la mesure de la sensibilité des traitements qu’il met en œuvre pour le compte de ses clients…
6. Quel est le contenu de l’AIPD ?
Après arbitrage sur la nécessité de déclencher une AIPD, la procédure est initiée et doit comprendre les quatre axes suivants :
- La détermination du contexte du traitement et de ses objectifs (nature, portée, objet, finalités, etc.) ;
- L’évaluation de la nécessité et de la proportionnalité des opérations de traitement ;
- L’évaluation des risques pour les droits et libertés des personnes qu’implique la mise en œuvre du traitement ;
- La détermination des mesures envisagées pour faire face au risque, le réduire et assurer la protection des données personnelles, et la conservation des preuves de la conformité du traitement aux dispositions du RGPD.
7. Comment procéder à une description circonstanciée du traitement ?
Cette description doit être juridique, fonctionnelle et technique.
En premier lieu, l’entreprise doit établir la description du traitement soumis à l’AIPD : il s’agit de présenter le traitement considéré. Au-delà de la description normée du traitement telle qu’elle doit apparaître dans le registre des traitements, il convient de détailler ses finalités en termes d’activité ou « métiers », et ses enjeux, entendus comme (i) les bénéfices attendus pour l’entreprise et, le cas échéant, (ii) pour la personne physique.
En l’espèce, le traitement a pour finalité la détection d’éventuelles fuites d’information et, potentiellement, de surveillance et d’évaluation des salariés, permettant à l’entreprise de respecter ses procédures de conformité et de protéger ses actifs. Il est important de soigneusement décrire les tenants et les aboutissants du traitement, en parfaite transparence. Cela signifie que si l’employeur cherche à effectuer un contrôle d’activité des salariés via le contrôle des flux emails, cette finalité doit clairement être décrite et assumée (de même qu’elle doit être portée à la connaissance préalable des salariés en question).
En second lieu, l’entreprise doit détailler les autres informations essentielles (catégories de personnes concernées, ici les salariés mais aussi potentiellement les stagiaires, les intérimaires, les anciens salariés dont les boîtes ont été conservées dans le respect des règles du Code du travail et de la jurisprudence applicable, les catégories de données, les sources des données, les destinataires internes et externes). Et surtout, la PME doit décrire par le menu l’ensemble des traitements qui concourent aux finalités poursuivies, c’est-à-dire les processus « métier » impliqués, les différentes opérations techniques de traitement et les supports de ces données.
En troisième lieu, la description doit également être technique et fonctionnelle. On quitte ici le juridique pour présenter concrètement le traitement : quels applicatifs sont impliqués ? Comment sont surveillées les messageries ? Quel lien entre l’application de contrôle et le poste du salarié ? Comment le contrôle est déployé sur les messageries des terminaux mobiles ? Quelles données sont rapatriées sur le serveur applicatif ? S’il s’agit d’une plateforme cloud, quelles données sont rapatriées sur le cloud du fournisseur ? S’agit-il d’un cloud public, privé ou hybride ? Quels sont les processus techniques qui correspondent aux traitements de données ? Sur quels serveurs et supports sont stockées les données ? S’agit-il uniquement de supports fixes ? Implique-t-on également des supports mobiles ? Quid en termes de sauvegarde des informations collectées sur les emails envoyés par les salariés ?
Des schémas techniques peuvent avantageusement compléter la description verbale des processus, des applicatifs et bases de données ainsi que des terminaux et matériels en cause sur le périmètre du traitement.
Ces descriptions et schémas doivent être exhaustifs, incluant la collecte initiale des données (depuis les postes et messageries des salariés) jusqu’à la destruction finale de ces informations à l’échéance du délai d’effacement, en passant par les destinataires potentiels ou réels des données (le fournisseur cloud, mais aussi potentiellement la hiérarchie, la Direction Générale, les avocats et huissiers de justice en cas de contentieux, etc.).
8. Comment justifier de la nécessité et de la proportionnalité du traitement ?
Cette justification doit se faire dans l’AIPD :
- Au niveau de la finalité (objectif métier) poursuivi, qui doit être légitime et proportionné ;
- Au niveau de la base légale (obligation légale, consentement, exécution d’un contrat, intérêt légitime…) ;
- Et au niveau de chacune des catégories de données personnelles collectées (pertinence et proportionnalité de la donnée collectée par rapport à la finalité poursuivie).
Conformément aux grands principes qui innervent le RGPD, le responsable de traitement doit s’assurer que les caractéristiques du traitement sont nécessaires et proportionnées à l’objectif qu’il souhaite atteindre : cela concerne non seulement les données, mais aussi les traitements effectués.
En l’espèce, la finalité première du traitement est la détection de fuites d’information. L’enjeu plus général est la protection des intérêts de l’entreprise : son secret d’affaires, son secret industriel, la préservation contre les risques de détournement d’information, de contrefaçon de bases de données, d’espionnage économique ou encore de concurrence déloyale.
Selon le principe de stricte nécessité et de proportionnalité, le logiciel d’analyse des emails que la PME déploie devrait donc être configuré pour ne détecter et de ne reporter que certaines informations préalablement jugées sensibles par l’entreprise, en fonction de son activité. La difficulté consiste à choisir un logiciel intelligent qui va savoir discriminer les fichiers en fonction de ce premier objectif.
Un logiciel qui ne sait pas discriminer les pièces jointes significatives peut donc être moins performant en termes d’AIPD, puisqu’il ne sera pas strictement conforme au principe de stricte nécessité et de proportionnalité qui doit être pris en compte dans le déroulement de celle-ci.
S’agissant de la finalité d’évaluation des salariés, il est peu probable qu’une surveillance permanente de leur correspondance soit nécessaire pour atteindre cette finalité, du moins pas pour tous les salariés. Le principe de proportionnalité se décline dans le temps et dans l’espace.
Sauf à démontrer que seule une surveillance permanente permet d’évaluer correctement les performances de certains salariés, consacrés par exemple à des activités à risques effectuées de façon autonome, le logiciel d’analyse des emails ne devrait donc être utilisé que pour la finalité de détection de fuite d’informations sensibles, et non à des fins de surveillance.
L’AIPD est donc, aussi, l’occasion de s’interroger sur la pertinence et les justifications d’une finalité, afin éventuellement de renoncer à tout traitement à cette fin dès lors que cette fin se justifierait difficilement…
L’emploi de chacune des données collectées doit être justifié dans les tableaux afférents au sein de l’AIPD : pourquoi telle donnée ? Est-il possible de s’en passer, ou est-elle strictement nécessaire et si oui en quoi ? A l’évidence, un élément d’identification du salarié est nécessaire pour une finalité d’évaluation des salariés, mais sur quelles autres données se fondera l’évaluation ? Est-il pertinent d’évaluer le travail d’un salarié au regard du seul nombre ou volume d’emails transmis ou reçus ? Autant de question à se poser pour justifier des données collectées.
Une durée de conservation des données proportionnée doit également être déterminée. Certes, les emails seront stockés pendant un temps correspondant aux finalités liées aux besoins de communication interne et externe de l’entreprise. En revanche, les données reportées par le logiciel d’analyse ne doivent être conservées que pendant la durée nécessaire à l’analyse qui sera effectuée aux fins de vérification de la conformité de la communication, soit d’un à six mois en fonction du volume d’emails à analyser.
L’ensemble de ces renseignements est nécessaire en entrée de phase, car l’intégralité de l’analyse d’impact est ensuite menée à la lumière de cette description détaillée et argumentée du traitement. Ainsi donc, une description trop macro, trop générique ou insuffisamment justifiée, ne peut que conduire à une AIPD incomplète ou erronée, et aboutir à des choix erronés, qui seront sanctionnés en cas de contrôle.
De plus, c’est l’ensemble de ces éléments qui est rapporté aux risques pour les intérêts, libertés ou droits fondamentaux de la personne, étudiés plus avant dans l’AIPD. Il y aura une mise en balance entre les intérêts poursuivis par la PME qui cherche à protéger ses actifs incorporels, et les atteintes possibles à la vie privée ou aux droits fondamentaux des salariés que la technologie pourrait engendrer.
[1] Expression des Besoins et Identifications des Objectifs de Sécurité, ANSSI