Novembre 2021 - " Analyse d'Impact relative à la Protection des Données : le cas des voitures connectées " Claire Levallois-Barth, Jonathan Keller, novembre 2021
Télécharger le rapport au format PDF (PDF, 3,85 Mo)
Le présent rapport présente les résultats des recherches de l’Axe 5 de la Chaire Connected Cars & Cybersecurity portant sur la méthodologie d’Analyse d’Impact relative à la Protection des Données (AIPD), telle que prescrite par l’article 35 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (« RGPD ») explicitées par les Lignes directrices du Comité européen de la protection des données (CEPD), adaptée à un contexte de véhicule connecté.
Pour répondre à cette problématique, un cas pratique reprenant différentes hypothèses de traitements de données personnelles par différents acteurs a été défini en collaboration avec les partenaires de la Chaire (Partie 1, page 9).
Ce cas pratique appelé Biomem offre la possibilité d’appliquer quatre méthodologies d’analyse d’impacts (celles développées par la Commission nationale de l’informatique et des libertés, par D. LE METAYER de l’INRIA appelée Privacy Risk Analysis Methodology, par le National Institute of Standards and Technology étasunien et par le Bundesamt für Sicherheit in der Informationstechnik allemand) pour en déduire leur efficacité dans un tel contexte et en tirer les mesures d’atténuation des risques adéquates (Partie 2, Chapitre 2, page 46).
Le rapport souligne la difficulté d’un choix univoque d’une méthodologie pour répondre à des besoins pratiques dans le contexte suscité (Partie 2, Chapitre 3, page 62).
En effet, aucune « méthodologie-miracle » n’est répertoriée. Chacune de ces méthodologies présente des avantages et des inconvénients rendant leur application concrète ou leur examen, par une autorité nationale de contrôle, problématique. Cette incomplétude découle des lacunes volontaires des Lignes directrices du CEPD manifestant la volonté d’une neutralité méthodologique pour l’appréciation du traitement de données personnelles vis-à-vis des droits et libertés des personnes concernées. Cette incomplétude provient de l’absence d’indicateurs quantifiant précisément l’étendue des dits risques (ces points sont étudiés en préambule de la Partie 2, Chapitre 1, page 34).
Étant un outil d’identification et d’atténuation des risques pour les droits et libertés, les AIPD se rapprochent des analyses du risque effectuées lors de la décision d’application du principe de précaution utilisé par la Cour de Justice de l’Union Européenne en droit de l’environnement « préalablement à la commercialisation d’un produit nocif ». Ce même principe se retrouve dans les mesures d’appréciation des atteintes des droits et libertés par la Cour Européenne des Droits de l’Homme pour juger des garanties instaurées au préalable par les États (Partie 3, Chapitre 1, page 94).
Enfin, les différentes méthodologies choisies avec les partenaires de la Chaire Connected Cars and Cybersecurity invitent à prendre en compte, au même titre que les droits et libertés, les dommages subis par le responsable du traitement. Les différents dommages envisagés sont alternativement réputationnels ou financiers. Leurs conséquences peuvent être sanctionnées par des décisions judiciaires. Nous étudierons ainsi les décisions déjà rendues par les juridictions anglo-saxonnes et leur éventuelle mais difficile adaptabilité en droit français (Partie 3, Chapitre 2, page 114).