Le coeur du RGPD est défini par son Considérant 76 : “le risque devrait faire l’objet d’une évaluation objective permettant de déterminer si les opérations de traitement des données comportent un risque ou un risque élevé.”.

La question fondamentale du RGPD est : ce traitement est-il potentiellement dangereux pour les personnes ? Quel est le niveau de ce risque ?

Risque ordinaire, risque élevé

Le responsable doit donc évaluer si chacun des traitements qu’il met en oeuvre expose les personnes concernées à un risque “ordinaire” ou à un risque élevé – le considérant 84 du Règlement propose que l’évaluation porte sur “l’origine, la nature, la particularité et la gravité du risque”.

La présence d’un risque élevé impose une analyse documentée du risque et des mesures limitant ce risque, au moyen d’une analyse d’impact relative à la protection des données (AIPD / PIA) – et, lorsque le risque résiduel demeure élevé, la consultation de la CNIL.

Un risque ordinaire ne dispense pas de la mise en place de mesures : elles seront seulement moins fortes et moins documentées.

#BonSens : plus un objet est fragile, plus il faut le protéger.

On protège mieux les boules de Noël…

On protège mieux les boules de Noël…

…que les boules de pétanque

…que les boules de pétanque

L’indice de Craignos

Quelles sont vos réactions face aux cas suivants (ils ont tous une base réelle)  ?

  • Une ville située sur une route nationale met en place des caméras lisant et enregistrant les plaques d’immatriculation de tous les véhicules entrant ou sortant de son territoire ou la traversant. Le commissaire de police dit au prestataire chargé d’installer les caméras : “la CNIL nous emmerde, activez le système”.
  • Une boutique en ligne de vente de matériel électronique vous demande de lui envoyer par mail une copie recto/verso de votre carte d’identité car votre achat dépasse 1.000€.
  • Les entreprises de plomberie d’une région décident de partager sur Google Docs un fichier des “mauvais” intérimaires, afin d’éviter aux collègues de subir les conséquences des mauvaises soudures de Monsieur X ou Monsieur Y.

Ou encore :

  • Votre couple ne va pas très bien. Vous avez effectué des achats sur toutes ces boutiques en ligne : www.creer-son-tshirt.fr, www.depressionnerveuse.fr, www.sex-toys.fr, www.drone.fr, www.divorceo.fr.


    Chaque nuit, ces sites exportent quelques données vers un tableau Excel : nom, prénom, adresse, adresse e-mail, date et montant des achats. Ces exports sont mal protégés et sont sur internet. On en cause au 20h. La terre entière et votre conjoint·e consultent ces informations.


    #BonSens  : quel est le risque que vous entendiez “Chéri·e, il faut qu’on parle” en rentrant ce soir ? Quel sera le sujet #1 ?


  • Un assureur enregistre les nom, prénom, métier, adresse personnelle de ses clients. Qui sont les assurés les plus en danger en cas de fuite des données sur internet ? Les étudiants, les bijoutiers, les retraités1 ?
La réaction la plus courante face à de tels cas est généralement de s’exclamer : “Ça craint  ! !”

À l’opposé, un fichier de gestion des Contacts des fournisseurs semble bien inoffensif…

Le RGPD conduit donc à s’interroger sur  : ça craint un peu ou ça craint un max pour les personnes ?

Quel est l'indice de Craignos de nos traitements sur une échelle de 1 à 4, avant et après la mise en place de mesures de réduction du risque ?

Sans qu’il soit besoin de recourir à la norme de pifométrie2, laissez parler votre coeur et votre bon sens…

Trop c’est Trop

Au regard de ces exemples, les 9 critères des lignes directrices du G29 ne nous semblent pas toujours suffisants pour évaluer le niveau de risque.

L’analyse des sanctions de la CNIL permet de dégager d’autres facteurs contribuant à l’indice de Craignos, que nous résumons ainsi : TROP C’EST TROP :

TROP d'utilisateurs, de personnes
accèdent à TROP de données
de TROP de clients, salariés, usagers, étudiants...
pendant TROP longtemps
Trop c'est Trop
Trop de personnes accèdent à
Trop de Données
de
Trop de clients, salariés, usagers, étudiants...
pendant Trop longtemps
Trop c'est Trop

Relisez les sanctions de la CNIL : toutes portent sur l’un au moins de ces critères, Sécurité, Nécessité, Étendue, Durée3.

Par exemple :

  • Sanction à l’encontre de Dedalus Technologie, 21 avril 2022 : manquement à l’obligation d’assurer la sécurité des données :

    • absence de procédure spécifique pour les opérations de migration de données  ;
    • absence de chiffrement des données personnelles stockées sur le serveur problématique  ;
    • absence d’effacement automatique des données après migration vers l’autre logiciel  ;
    • absence d’authentification requise depuis internet pour accéder à la zone publique du serveur  ;
    • utilisation de comptes utilisateurs partagés entre plusieurs salariés sur la zone privée du serveur  ;
    • absence de procédure de supervision et de remontée d’alertes de sécurité sur le serveur.

    Cette absence de mesures de sécurité satisfaisantes est l’une des causes de la violation de données qui a compromis les données médico-administratives de près de 500 000 personnes.

  • Sanction à l’encontre de Carrefour France, 26 novembre 2020 :

    La société CARREFOUR FRANCE ne respectait pas les durées de conservation des données qu’elle avait fixées. Les données de plus de vingt-huit millions de clients inactifs depuis cinq à dix ans étaient ainsi conservées dans le cadre du programme de fidélité. Il en était de même pour 750 000 utilisateurs du site carrefour.fr inactifs depuis cinq à dix ans.


    Par ailleurs, en l’espèce, la formation restreinte considère qu’une durée de conservation de 4 ans des données clients après leur dernier achat est excessive. En effet, cette durée, initialement retenue par la société, excède ce qui apparaît nécessaire dans le domaine de la grande distribution, compte tenu des habitudes de consommation des clients qui font principalement des achats réguliers.

Evaluer le risque avant de définir les mesures

Pour vraiment évaluer le risque, il nous semble que l’on peut aussi apporter les éléments suivants de subjectivité, en pensant d’abord et toujours aux personnes :

  • quelles sont l’origine, la nature, la particularité et la gravité du risque ? Ces questions fondamentales, posées par le considérant 84, sont hélas absentes de la méthodologie de la CNIL.
  • avons-nous réduit au minimum (ou au moins à des niveaux tolérables) chacun des 4 axes du Trop c’est Trop ?
  • quelle est notre définition de la “large échelle” de personnes concernés, au regard de notre activité ou pour un traitement particulier ?
    • il nous semble évident qu’un fichier comportant plus d’un million de personnes est dangereux – des “méchants” trouveront toujours un moyen de l’exploiter. A l’inverse, le seuil de 50 personnes semble ridiculement bas. Quel est notre seuil ?
  • traitons-nous des données qui, bien que non listées en tant que données sensibles, sont dangereuses pour les personnes :
    • commentaires im-pertinents ?
    • mots de passe non chiffrés ?
    • pièces d’identité ?
  • bien que le traitement coche 0 ou 1 case sur 9, le contexte du traitement augmente-t-il le risque pour les personnes (par exemple pour les bijoutiers) ?
  • bien que le traitement coche 2 cases ou plus, son contexte spécifique abaisse-t-il le niveau de risque pour les personnes ?
  • bien que le traitement soit sur la liste des traitements pour lesquels une AIPD n’est pas requise4, notre traitement n’augmente-t-il pas le risque ? A l’inverse, même si notre traitement est réputé à risque élevé, cette qualification est-elle justifiée dans le contexte de notre traitement ?
  • quelle formalité aurait été applicable dans le régime de la loi de 1978 ? Il nous semble toujours douteux qu’un traitement banal, bénéficiant jusque-là d’une dispense ou d’une norme simplifiée, puisse créer un risque élevé…
  • notre taux de clic ou notre bénéfice est-il la justification suprême à la mise en place d’un dispositif ?
  • avons-nous demandé leur avis aux personnes concernées ? L’article 35 9. du Règlement et le bon sens recommandent cette mesure, mais elle est bien trop rarement mise en oeuvre… Le refus du responsable de traitement à la simple évocation de cette possibilité est révélateur d’un indice de Craignos élevé voire extrême : pour la mise en place d’outils anti-fraude sur un site internet marchand, ou de caméras lisant les plaques d’immatriculation aux entrées d’une ville, on évite soigneusement de consulter vraiment les intéressés.
  • sommes-nous à l’aise si nos enfants sont concernés par le traitement ?

A l’évidence le DPO ne devrait pas être le seul acteur de cette évaluation ; ici, la décision collégiale renforce le caractère responsable de l’évaluation et participe à la fameuse accountability.

Notre carte des “traitements standard” intègre des niveaux de risque usuels – à adapter en fonction de votre contexte bien sûr…

Risques des traitements les plus courants

Risques des traitements les plus courants

Notre solution Provacy permet (forcément) de documenter ces éléments – et les questions complémentaires que chaque DPO souhaite se poser.

Risques initiaux / résiduels de traitements

Risques initiaux / résiduels de traitements

Détermination des risques pour une fiche de traitement

Détermination des risques pour une fiche de traitement

Les traitements hyper-craignos

Quant à la mise en oeuvre du mécanisme de consultation préalable prévu par l’article 36 du Règlement, nous avons du mal à l’imaginer…

Bonjour Madame la CNIL, nous voulons mettre en oeuvre un traitement qui craint un max malgré les mesures envisagées, pouvez-vous nous donner le feu vert quand même ?

Le prélèvement de l’impôt à la source, l’utilisation du numéro de sécurité sociale sur France Connect pour accéder à mon compte sur le site des Impôts, l’établissement de listes de personnes usurpant un titre d’infirmier… de tels traitements relèvent plutôt d’un débat au Parlement et d’une loi, forme supérieure d’évaluation Risques/Avantages, que d’une initiative du secteur privé.

Si vous connaissez ou arrivez à imaginer des cas relevant de la consultation, n’hésitez pas à les partager dans vos commentaires sur LinkedIn !

En guise de conclusion…

Désolé de vous le dire, mais il vraisemblable que votre société ou votre organisation n’est pas exceptionnelle, que vos traitements sont banals… et que vous n’av(i)ez pas besoin de faire toutes ces PIA/AIPD !

Les consultants qui tentent d’exposer l’inanité de ces situations se mettent en risque de perdre le client frileux, qui préfèrera bien souvent écouter un autre Conseil bien anxiogène et psychorigide : “Cher ami, ne prenez pas de risque, faisons 40 dossiers de PIA, 200K€ ne sont rien s’ils vous assurent un sommeil tranquille sur cet épais matelas de papier”. Alors on ne se bat plus pour revenir aux fondamentaux :

Ça craint un peu ou un max ?
Quel est l’indice de Craignos de vos traitements ?

Qui croirez-vous ? Ce texte et votre bon sens, ou les marchands de peur ?


  1. Les bijoutiers sont toujours très inquiets (à juste raison) que leur famille se fasse braquer, et rechignent toujours à communiquer leur adresse… ↩︎

  2. Si, si, il existe une norme de pifométrie… http://pifometrie.indriya.org/ ↩︎

  3. Nous ne connaissons pas de sanctions qui portent sur l’absence de désignation d’un DPO ou le cochage de la “mauvaise” case dans un formulaire. Concentrons-nous sur les sujets importants ! ↩︎

  4. https://www.cnil.fr/sites/default/files/atoms/files/liste-traitements-aipd-non-requise.pdf ↩︎