Vous avez peut-être déjà pris en compte la différence entre la protection de la vie privée dès la conception et la protection de la vie privée par défaut lors du traitement des données sensibles des clients. Les normes de protection des données évoluent et vous les prenez peut-être déjà en compte, mais que pensez-vous des différences entre ces deux types de normes de protection des données et de leur mise en œuvre ? Sources : 10,11]
Le concept se compose de deux parties qui doivent être comprises séparément l’une de l’autre, de sorte qu’il est devenu connu sous le nom de privacy by construction. Le GDPR étend ce concept en se référant à la protection des données par conception, qui fournit la vie privée comme une norme dans tous les produits et processus. Sources : 11,7]
Découvrez nos solutions sans obligation d’achat
Si votre responsable du traitement n’est pas sûr qu’une EFDP soit nécessaire, l’une des meilleures façons de minimiser votre charge juridique est de réaliser une EFDP. Vous pouvez contacter votre délégué à la protection des données ou votre responsable de la protection des données pour obtenir des éclaircissements ou si des informations supplémentaires ont été fournies par l’ICO. Dans tous les cas, vous devriez également consulter un expert professionnel de la protection des données, tel qu’un expert en protection des données ou un expert en protection des données. Si un litige s’avère nécessaire et que vous avez besoin de conseils supplémentaires, veuillez d’abord contacter le contrôleur juridique qui sera en contact avec votre délégué à la protection des données. Une évaluation de la sécurité des informations et de la protection des données, préparée et gérée par des conseillers juridiques, constituera une défense contre les privilèges juridiques si un litige s’avère un jour nécessaire. Sources : 1,9,11,11]
Les lignes directrices publiées par le Contrôleur européen de la protection des données aideront les décideurs du secteur public à effectuer les analyses nécessaires. L’obtention d’avis sur les personnes concernées permettra aux contrôleurs de comprendre les préoccupations des personnes concernées et d’améliorer la transparence en clarifiant la manière dont les informations individuelles sont utilisées. Au cours de la consultation, les inspecteurs informeront les contrôleurs des mesures à prendre pour garantir ce qu’ils sont tenus de protéger. [Sources : 18,7,7]
Les lignes directrices sont conçues pour déterminer si une DPIA est nécessaire pour chaque initiative et, le cas échéant, comment l’évaluation doit être réalisée. Le work package 29 propose un ensemble de critères permettant aux responsables du traitement d’évaluer si leur méthode de mise en œuvre de la déclaration de protection des données est nécessaire pour garantir la conformité des données avec l’annexe 2 du GDPR (AP248). Dans les cas où il n’est pas clair si un responsable du traitement a respecté les règles de protection des données, la mise en œuvre d’une DPIA peut être un outil utile pour l’aider à se conformer. Si un DPII est obligatoire ou si sa nécessité n’est pas claire, l’AP 29 recommande qu’il soit mis en œuvre en tant qu’instrument général de protection des données. Sources : 0,3,9,7]
Les entreprises doivent chercher à documenter la nécessité d’une DPIA, même si elles décident finalement de ne pas la mettre en œuvre, indiquent les lignes directrices. Sources : 14]
L’EFDP devrait être menée en collaboration avec les équipes chargées du traitement des données afin d’identifier et d’atténuer les risques liés aux données, d’où qu’ils viennent. La mise en œuvre d’un DPIA suffisant peut nécessiter l’implication de départements qui ne sont pas normalement impliqués dans les questions informatiques, comme le département de sécurité informatique. Sources : 16,14]
Si vous disposez d’un délégué à la protection des données, si vous devez en avoir un, demandez conseil à un délégué à la protection des données, consultez les personnes et les autres parties prenantes à ce processus, documentez votre politique et votre document de confidentialité et demandez leur avis. Vous devez consulter d’autres parties prenantes clés impliquées dans votre projet, la consultation est donc essentielle. Si vous avez un délégué à la protection des données à GitLab, informez-le de vos obligations en matière de protection des données et conseillez-le sur un DPIPIA. Sources : 2,4,6,11]
Le GDPR ne liste pas de qualifications ou de références spécifiques qu’un DPIPIA devrait avoir, mais il reconnaît qu’ils sont essentiels pour garantir la conformité aux règles de l’entreprise. Le POA doit être une personne d’une grande intégrité et d’un grand professionnalisme, possédant les qualifications nécessaires à l’exercice de ses fonctions et une expérience en matière de protection des données. Sources : 10,17]
Conformément au Work Package 29, le responsable du traitement est chargé de s’assurer que le DPIA est mis en œuvre comme il se doit et doit demander des conseils et des décisions aux POA, qui doivent être documentés dans le DPIA. Lorsque le responsable du traitement ne considère pas qu’il est approprié d’obtenir des informations sur une personne concernée, les raisons de cette décision doivent être clairement documentées. L’objectif est d’aider les détenteurs de données ou les responsables du traitement de mini-données à analyser les activités de traitement et à fournir des conseils sur les risques découlant des activités de traitement. Sources : 19,9,7]
Les risques vont du vol ou de l’utilisation involontaire de données par des criminels pour imiter une personne à la crainte inquiétante qu’une organisation puisse utiliser les données de la personne à des fins inconnues. Le risque d’être lésé à la suite d’un traitement ou le résultat d’un traitement qui n’aurait pas pu être raisonnablement prévu par les personnes concernées est que la confidentialité des données à caractère personnel de la personne concernée, telles que son nom, son adresse, son numéro de téléphone ou son adresse électronique, soit violée. Un déséquilibre de pouvoir dans la relation d’une personne peut entraîner une vulnérabilité si elle n’est pas consciente que ses données sont automatiquement considérées comme vulnérables, si elle croit être désavantagée ou si le traitement n’a pas lieu, par exemple, en raison d’un déséquilibre de pouvoir au sein de l’organisation. Sources : 12,7,12]
Sources :
- [0] : https://www.dur.ac.uk/ig/dp/dpia/
- 1] : https://www.upcounsel.com/blog/perform-data-protection-impact-assessment
- 2] : https://seersco.com/articles/articles/data-protection-impact-assessment-dpia/
- [3] : https://www.technethics.com/implementation-data-protection-impact-assessment-according-gdpr/
- [4] : https://www.nibusinessinfo.co.uk/content/data-protection-impact-assessments
- [5] : https://www.hipaajournal.com/gdpr-training/
- [6] : https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/data-protection-impact-assessments-dpias/how-do-we-do-a-dpia/
- [7] : http://www.dataprotection.ie/en/organisations/know-your-obligations/data-protection-impact-assessments
- [8] : https://www.bramblysgrange.co.uk/practice-information/data-protection-impact-assessment-dpia-policy/
- [9] : https://www.dataguidance.com/opinion/eu-how-when-and-why-carrying-out-dpia
- [10] : https://charteredaccountantsworldwide.com/six-steps-accountants-can-take-prepare-gdpr/
- [11] : https://about.gitlab.com/handbook/engineering/security/dpia-policy/
- [12] : https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/data-protection-impact-assessments-dpias/when-do-we-need-to-do-a-dpia/
- [13] : https://blog.rsisecurity.com/is-a-dpia-required-for-gdpr/
- [15] : https://dpnetwork.org.uk/data-protection-by-design-data-protection-impact-assessments/
- [16] : https://www.csoonline.com/article/3445424/when-and-how-to-write-a-gdpr-dpia.html
- [17] : https://chaucer.com/insights/blog/do-you-need-a-data-protection-officer
- [19] : https://www.9ine.uk.com/newsblog/ico-dpia-guidance