L’autorité luxembourgeoise de protection des données a confirmé que la nouvelle loi de l’Union européenne sur la protection des données, le RGPD, a incité les entreprises à revoir leur conformité interne. La liste tant attendue de l’autorité, qui contient les exigences en matière de protection des données pour diverses opérations de traitement des données, a été publiée avant l’entrée en vigueur du RGPD le 25 mai 2018. [Sources : 16,16]
Cependant, il est important de montrer que toutes les activités de traitement ont été évaluées pour leur potentiel de risque élevé et qu’elles répondent aux critères d’exigence du RGPD. Cependant, toutes les activités de traitement ne nécessitent pas une analyse d’impact et si ce n’est pas le cas, une évaluation des risques doit être réalisée. Bien que celle-ci ne soit pas obligatoire, les organisations peuvent considérer qu’il est nécessaire de procéder à une évaluation pour permettre un traitement moins risqué, pour calculer et, si possible, réduire le risque pour les personnes. Si le DPIA n’est pas requis, l’évaluation des risques ne doit être effectuée que conformément aux exigences de la SA. [Sources : 15,1,15]
Découvrez nos solutions sans obligation d’achat
L’autorité de surveillance nationale (AS) est tenue d’établir et de publier la liste des activités de traitement requises par le DPIA. Elle est également chargée de fournir des orientations sur le type d’opérations de traitement à effectuer et sur ce qui est prévu par le RGPD lui-même. [Sources : 7,3]
Dans les cas où il n’est pas clair si la politique de confidentialité est obligatoire, la mise en œuvre peut être un outil utile pour aider les responsables du traitement des données à se conformer aux lois sur la protection des données. Dans le cas d’une application du RGPD ou dans un cas où une évaluation des risques est disponible, le RGPD peut ne pas être nécessaire, mais peut être utile comme outil pour aider le responsable du traitement à se conformer aux deux premiers points mentionnés ci-dessus. S’il n’est pas clair si le RGPD (directive sur la protection des données) ou les exigences de la SA pour la directive sur la protection des données (SA) d’une organisation ne doivent pas être strictement contraignantes. [Sources : 6,6]
Dans certains cas, la mise en œuvre du RGPD est obligatoire, dans d’autres cas, elle peut être utilisée pour identifier les lacunes potentielles en matière de conformité et aider à respecter les obligations de responsabilité prévues par le RGPD. Il est important de noter que le RGPD n’est obligatoire que dans les circonstances particulières du RGPD et que les États individuels au sein de l’UE peuvent imposer des exigences supplémentaires, y compris des listes noires pour les activités qui déclenchent un RGPD. En résumé, le fait que la loi vous oblige à remplir vous-même une DPIA est un moyen utile de vous assurer que vous tenez compte de la vie privée dès le départ, sans mauvaise surprise. Remarque : ce n’est pas parce que ce n’est pas vraiment obligatoire que ce n’est pas extrêmement utile, même si ce n’est pas une exigence du GAO ou d’un projet que vous lancez. [Sources : 0,2,12,13]
L’autre raison d’une analyse d’impact sur la protection des données est de prouver que votre organisation répond aux exigences contraignantes du RGPD, même si elle n’est pas obligatoire. [Sources : 9]
En termes simples, une analyse d’impact sur la protection des données peut être utile même si elle n’est pas nécessairement requise par la législation européenne sur la protection des données. L’EFDP peut également être utilisée lorsqu’une organisation est à un stade précoce de la planification de quelque chose qu’elle prévoit de faire et qu’elle a besoin d’une analyse plus approfondie et de conseils, par exemple en invitant un régulateur ou un superviseur professionnel. Bien que la loi fixe des lignes directrices pour les cas où un accord de protection des données devrait être mis en œuvre, les lignes directrices britanniques sur la protection des données et l’ICO suggèrent que même dans ces cas, les évaluations d’impact sur la protection des données ne peuvent, ne doivent et ne devraient pas être obligatoires. Lorsqu’il n’est pas clair si une DPIA est nécessaire, l’AP29 recommande qu’elle soit mise en œuvre en tant qu’instrument général de protection des données. [Sources : 10,18,17,0]
Si la publication d’une EFDP n’est pas exigée par la législation européenne sur la protection des données, une organisation doit considérer les avantages de la publication. Si un responsable du traitement n’est pas sûr de la nécessité d’une politique de confidentialité, l’une des meilleures façons de minimiser la charge juridique est de procéder à une telle vérification. La DPIA est un outil utile pour aider les contrôleurs à se conformer aux obligations prévues par le document, même lorsqu’elles ne sont pas nécessaires. [Sources : 17,14,5]
Les organisations sont tenues de réaliser une DPIA si leur traitement des données présente un risque élevé pour les droits et libertés des personnes. L’article 35 du RGPD crée les conditions d’un examen de la manière dont les nouvelles technologies et les nouveaux processus d’entreprise sont mis en œuvre lorsqu’ils entraînent des risques de sécurité élevés pour la vie privée, la protection des données et le droit à la liberté individuelle. [Sources : 10,11]
Si aucune DPIA n’est requise au 25 mai 2018, le responsable du traitement doit la mettre en œuvre dès que possible. Par conséquent, l’article 14 des directives de l’art. 29WP conduira à ce qu’une procédure plus risquée soit réalisée à une occasion précoce avec le DPIA, qui est obligatoire en vertu du RGPD. [Sources : 4,18]
Si un responsable du traitement diffère du point de vue de la personne concernée dans la décision finale sur l’analyse d’impact sur la protection des données, il doit en documenter la raison. [Sources : 18,17,8]
Sources :
- [0] : https://www.i-scoop.eu/gdpr/dpia-data-protection-impact-assessments/
- [1] : https://www.tcd.ie/info_compliance/data-protection/dpias/
- [2] : https://www.partnervine.com/blog/what-is-a-dpia
- [3] : https://dataprivacymanager.net/what-is-dpia-a-data-protection-impact-assesment/
- [4] : https://www.keele.ac.uk/informationgovernance/fortheuniversity/dataprotection/privacybydesign/dataprotectionimpactassessments/
- [5] : https://medium.com/golden-data/what-is-a-data-protection-impact-assessment-dpia-under-eu-law-644e46ce9b62
- [6] : https://www.nuigalway.ie/data-protection/staffandstudentresources/dataprotectionimpactassessments/
- [7] : https://legalict.com/2019/04/10/when-is-a-dpia-mandatory-according-to-the-belgian-data-protection-authority/
- [9] : https://privaon.com/publications-news/blogs/data-protection-impact-assessment-dpia/
- [10] : https://www.clarip.com/data-privacy/gdpr-impact-assessments/
- [11] : https://blog.netwrix.com/2021/02/17/data-protection-impact-assessment/
- [12] : https://www.fieldfisher.com/en/services/privacy-security-and-information/privacy-security-and-information-law-blog/data-protection-impact-assessments-%E2%80%93-what-when-an
- [13] : https://dpnetwork.org.uk/data-protection-by-design-data-protection-impact-assessments/
- [14] : https://dataethics.eu/how-ethics-and-the-dpia-can-go-together/
- [15] : https://www.knowyourcompliance.com/guidance-on-data-protection-impact-assessments-dpia/
- [16] : https://www.dlapiper.com/en/luxembourg/insights/publications/2019/03/luxembourg-data-protection-supervisory-authority-confirms-mandatory-dpia/
- [17] : https://www.dataguidance.com/opinion/eu-how-when-and-why-carrying-out-dpia
- [18] : https://lawandtech.eu/2017/12/29/dpias/