Comment réaliser une AIPD ?

Smart Global Governance solution

Découvrez nos solutions sans obligation d’achat

ESSAI GRATUIT 15 JOURS

L’analyse d’impact sur la protection des données (AIPD) est un moyen méthodologique et complet d’analyser le traitement des données à caractère personnel et d’aider à identifier et à atténuer les risques liés à la protection des données. Une DPIA est un processus que les entreprises de traitement des données doivent mettre en œuvre afin d’évaluer et d’identifier systématiquement les risques et les impacts en matière de protection des données qui peuvent découler des produits ou des services qu’elles proposent. [Sources : 9,7]

Ce processus, connu sous le nom d’analyse d’impact sur la protection des données (RGPD), fait partie intégrante du RGPD et, s’il n’est pas réalisé comme requis, peut exposer votre organisation à un certain nombre de risques liés à la protection des données et aux effets du traitement des données à caractère personnel. Le fait de ne pas consulter les autorités de contrôle compétentes pourrait entraîner une augmentation des amendes de 1,5 million d’euros pour l’année précédente, ce qui est supérieur à la sanction maximale pour non-respect de la directive sur la protection des données. [Sources : 8,14]

Si votre entreprise est responsable du traitement du RGPD, vous devrez peut-être effectuer une RGPD avant d’entreprendre un projet de traitement des données à haut risque. Si vous avez déterminé que les risques associés au traitement nécessitent une EFDP, il en va de votre intérêt. Votre organisation doit également former ses employés à évaluer quand et comment ils n’en ont pas besoin et comment ils l’exécutent. Vous ne recevrez pas de RGPD si vous effectuez votre RGPD à grande échelle avant le traitement, mais vous pouvez aussi l’effectuer avant le traitement si vos données sont traitées à grande échelle. [Sources : 3,4,12,3]

Lorsqu’une banque d’investissement souhaite traiter des données personnelles et détecter des transactions frauduleuses, une DPIA peut aider à identifier les risques pour la personne concernée. Elle permet à l’entreprise de répondre aux risques identifiés et de prendre les mesures appropriées pour prévenir ou au moins minimiser l’impact sur les droits de protection des données d’une personne. Si le responsable du traitement a identifié et pris des mesures d’atténuation des risques pour les données à caractère personnel, comme une procédure d’APD, il n’est pas nécessaire de consulter le CPD avant de réaliser le projet. La procédure informe la « personne concernée » dans un délai raisonnable de l’infraction et un risque de dommage a été identifié. En cas de préjudice, tous les dommages ont été récupérés et les données personnelles ainsi que la perte ou la disparition de données ont été endommagées. [Sources : 15,7,7,2]

En plus d’assurer la conformité, la mise en œuvre d’un DPIA au début du projet peut également aider à déterminer qui effectue le traitement et quelles données doivent être collectées, ainsi qu’à modifier tous les nouveaux processus, employés, mesures organisationnelles, etc. [Sources : 3,10]

L’un des moyens les plus importants de montrer aux autorités que votre organisation se conforme au RGPD est de préparer un RGPD pour les activités de traitement des données à haut risque. Une organisation doit toujours garder une trace de ses activités, et un RGPD peut faire la lumière sur certaines situations à risque afin de réévaluer les processus de traitement. [Sources : 14,0]

Bien que la plupart des opérations de traitement nécessitent de telles évaluations, il est facile de définir des cas où un DPIA n’est pas nécessaire. Par exemple, si vous traitez des données dans une catégorie spéciale, un DPIA ne peut être réalisé qu’en cas de situation à haut risque. [Sources : 3,14]

Dans les cas où il n’est pas clair si une EFDP est obligatoire, la mise en œuvre est un outil utile pour aider les contrôleurs de données à se conformer aux lois sur la protection des données. Le mécanisme le plus important requis par le cadre juridique pour démontrer la conformité est certainement l’introduction d’une analyse d’impact sur la protection des données (DPIA) pour votre entreprise. Si un responsable du traitement n’est pas sûr qu’une DPIA était nécessaire, la meilleure option pour minimiser la charge légale est de la réaliser. [Sources : 11,2,7]

Si une modification importante des systèmes ou des processus existants pour le traitement des données personnelles est nécessaire, le responsable du traitement des données doit effectuer au moins l’étape 1 de la procédure pour déterminer si une EFDP complète est nécessaire. Si le processeur de données est impliqué dans le traitement, il doit fournir les informations nécessaires et aider au traitement des données. Une DPIA doit être réalisée pour identifier les opérations de traitement qui pourraient présenter un risque pour la sécurité des données. Dans la plupart des cas, un DPIA n’est pas toujours nécessaire lorsqu’une organisation est confrontée à un problème de protection des données, comme une violation de la vie privée, une violation des données ou un vol de données. [Sources : 6,5,15,2]

Une EFDP correctement remplie vous aide à prouver que vous vous conformez à la politique de confidentialité. Comment savoir si une EPDP est nécessaire avant de juger si vous devez l’effectuer ? Vous pouvez suivre les étapes décrites dans la section ci-dessus, mais si vous n’avez pas effectué d’évaluation des facteurs relatifs à la vie privée dans le cadre d’un projet antérieur très similaire, vous pouvez également utiliser votre accord de protection de la vie privée existant pour démontrer qu’il est conforme à la politique de confidentialité. [Sources : 2,16,13]

Pour décider quand une EFDP est nécessaire, il est important de vérifier le contrôleur sur le site de l’ICO. Si une organisation conclut, sur la base de l’un des facteurs mentionnés ci-dessus, qu’elle n’est pas obligée de réaliser une DPIA, elle doit documenter l’opinion qu’elle s’est forgée, qu’elle ait pu ou non démontrer sa conformité au RGPD. [Sources : 16,1]

Sources :

  • [0] : https://gdpr.eu/data-protection-impact-assessment-template/
  • [1] : https://www.jdsupra.com/legalnews/gdpr-update-november-2018-data-71311/
  • [2] : http://www.dataprotection.ie/en/organisations/know-your-obligations/data-protection-impact-assessments
  • [3] : https://www.ecomply.io/blog-en/do-i-need-a-data-protection-impact-assessment-to-avoid-gdpr-fines
  • [4] : https://legalvision.com.au/how-do-i-carry-out-a-data-protection-impact-assessment-under-the-gdpr/
  • [5] : https://www.ucc.ie/en/gdpr/policyandprocedures/dataprotectionimpactassessmentprocedure/
  • [6] : https://blog.netwrix.com/2021/02/17/data-protection-impact-assessment/
  • [7] : https://medium.com/palqee/q-a-data-protection-impact-assessment-or-dpia-4ab8844a19ff
  • [8] : https://stealthbits.com/blog/what-is-a-data-protection-impact-assessment/
  • [9] : https://thedataprivacygroup.com/premium-blog/2019/8/19/the-five-steps-to-a-gdpr-impact-assessment
  • [10] : https://blog.bearer.sh/data-protection-impact-assessment-dpia/
  • [11] : https://www.dataguidance.com/opinion/eu-how-when-and-why-carrying-out-dpia
  • [12] : https://www.techfunnel.com/information-technology/a-key-to-successful-data-protection-impact-assessment-dpia-in-gdpr/
  • [13] : https://www.privacypolicies.com/blog/conducting-data-protection-impact-assessment/
  • [14] : https://gdprinformer.com/gdpr-articles/impact-assessments-guide
  • [15] : https://www.talend.com/resources/how-to-conduct-data-protection-impact-assessments/
  • [16] : https://flowz.co.uk/dpia-qa/