Une délibération de la CNIL du 11 octobre 2018 dresse la liste des traitements de données personnelles pour lesquels une analyse d’impact relative à la protection des données (AIPD) doit être mise en œuvre. Sans surprise, les établissements sanitaires et médico-sociaux sont les premiers concernés par cette obligation puisqu’ils accompagnent des personnes en situation de fragilité et traitent pour ce faire des données personnelles et très sensibles.
Ces structures sont donc supposées élaborer sans délai une étude contenant :
une description des opérations de traitement et de leur finalité ;
une évaluation de la nécessité et de la proportionnalité de ceux-ci ;
une évaluation des risques pour les droits et libertés des personnes concernées
les mesures envisagées non seulement pour faire face aux risques mais aussi pour apporter la preuve du respect du RGPD.
Le site de la CNIL propose des lignes directrices qui empruntent à la méthode de la cartographie des risques, cette pratique étant désormais bien ancrée au sein des entreprises et donc supposée parfaitement maîtrisée. Pour les établissements qui sont moins familiarisés à cette démarche d’analyse technique et juridique, ces recommandations générales pourraient être insuffisantes ; l’aide de professionnels ayant déjà procédé à la réalisation de tels AIPD peut se révéler particulièrement utile pour organiser ce processus, qui doit en principe s’étaler sur trois ou quatre mois, et sera à actualiser une fois par an.
