AIPD : associer une expertise juridique pointue à une solution performante

12 Juil 2021

AIPD Retour d'experience

Le 1er juillet, Adequacy – par la voix de son CMO Stéphane Galois – participait à un webinaire organisé par le cabinet d’avocats klein wenner, consacré aux AIPD.

Aux côtés de Matthieu Bourgeois et Laurent Badiane, avocats associés en charge de la pratique et de l’équipe Immatériel & Numérique de klein wenner, Sophie de Kermenguy, avocate au sein de cette équipe, l’occasion de faire le point sur les analyses d’impact, et de partager le retour d’expérience d’Aurélie Banck, DPO d’Europcar Mobility Group.

L’occasion également de revenir sur le partenariat noué depuis plusieurs mois entre Adequacy et klein wenner, qui a permis de proposer aux utilisateurs d’Adequacy un module AIPD encore plus efficace et accessible.

Retour sur les idées force de ce webinaire.

Les AIPD, aboutissement d’une certaine vision de l’Europe à l’égard des technologies

L’Europe a été marquée par deux traumatismes liés à l’usage des technologies mises au service de projets idéologiques, une première fois en 1904, dans le cadre de l’Affaire Dreyfus, qui a donné lieu à « l’affaire des fiches » dans l’armée puis, plus tard, le fichage généralisé des populations pendant la seconde guerre mondiale.

Ces deux traumatismes ont conféré au vieux continent une certaine maturité, une prudence également à l’égard des technologies, dont on a compris qu’elles pouvaient avoir des effets néfastes si on n’en mesurait pas l’impact dès l’origine.

En un mot, la technologie numérique mérite d’être pensée et ses apports mis en balance, notamment en examinant les risques qu’elle entraîne pour les personnes qu’elle va concerner.

En instaurant la notion d’analyse d’impact, le RGPD s’inscrit dans cette logique.

Les AIPD, une démarche complexe dont les organisations ne se sont pas encore saisies

Alors que, d’après les textes, 2021 devait être l’année des analyses d’impact, les données montrent que la réalisation des AIPD sont peu nombreuses à l’échelle de la France et de l’Europe.

Le retour des utilisateurs d’Adequacy nous montre que seuls 30% d’entre eux s’y sont attelés, et seulement 10% d’entre eux sont allés jusqu’au bout. Malgré l’échéance du 25 mai 2021, les organisations n’ont pas encore pris le sujet à bras le corps, un sujet qui leur paraît complexe et pour lequel elles ressentent un fort besoin de pragmatisme.

Cette complexité perçue ne peut être niée : parce qu’une AIPD est à la confluence de différents métiers, parce que, pour être réalisée correctement, elle nécessite une construction en 4 étapes et une excellente compréhension du contexte de l’organisation concernée, parce qu’une analyse d’impact représente à la fois un outil d’accountability et de gestion des risques, elle nécessite un travail conséquent et ne peut se faire à la va-vite, entre deux réunions.

C’est un travail de fond, pour lequel nombre d’organisations ressentent le besoin d’être accompagnées.

Le chemin des AIPD s’annonce donc long.

Collaboration Adequacy / klein wenner : une vision commune pour favoriser la mise en place d’une démarche structurante

Depuis près de deux ans, la solution Adequacy disposait d’un module AIPD. En vue du 25 mai 2021, nous souhaitions faire évoluer ce module, forts de ces deux ans d’usage, de pratique éprouvée et de retours d’expérience.

Lorsque nous avons rencontré le cabinet d’avocats klein wenner, nous avons tout de suite été marqués par une conviction partagée : au-delà de notre vision partagée de la donnée et des enjeux associés, nous sommes convaincus que la mise en place des AIPD va représenter un changement de paradigme. Avec les analyses d’impact, les organisations vont passer à une approche ex ante, anticipant les dommages plutôt que cherchant à les réparer. Surtout, elles vont passer d’une vision des risques centrée sur l’entreprise à une vision des risques client-centric.

Nous pensons que les analyses d’impact sont porteuses d’un pouvoir de transformation profond et qu’elles vont devenir un outil puissant de conduite du changement et d’amélioration continue des organisations.

Comment, dès lors, faire en sorte, à notre niveau, d’aider les organisations à avancer sur ce chemin, à se saisir du sujet ?

  • En conciliant l’expertise juridique pointue d’une équipe d’avocats chevronnés en droit de la donnée avec la solidité technologique de notre solution
  • En ne faisant pas à la place des clients, mais avec eux, grâce à une démarche pas à pas et accompagnée
  • En ancrant notre module AIPD dans une démarche pédagogique et accessible, grâce à la mise en place d’assistants de saisie, au pré-renseignement de scénarios de menaces et à la mise à disposition de rendus de qualité

A la clé : la version 5.0 d’Adequacy qui propose notamment un module de registre et d’AIPD refondu

  • Nous avons travaillé avec klein wenner à la conceptualisation d’une solution à la fois structurante et pragmatique, qui valorise les productions de l’équipe du cabinet klein wenner et fournit les éléments nécessaires à la réalisation d’une AIPD.
  • Nous avons trouvé un subtil compromis avec des mots choisis qui ont leur importance : parler le juridico/DPO/technique est un art en constante évolution !
  • Si nous avons simplifié et automatisé des processus, il reste bien évidemment la force et la richesse de l’analyse humaine : l’outil, notre solution ne résout rien, elle est au service de l’entreprise.
  • Notre solution s’améliore chaque jour grâce à vous et grâce aux équipes klein wenner et notre capacité à automatiser les processus.

Rappel : les 4 étapes d’une AIPD

1 – description systématique des opérations de traitement envisagées et des finalités du traitement

2 – évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités

3 – Evaluation des risques pour les droits et libertés des personnes concernées

4 – mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du RGPD.