L’évaluation des facteurs relatifs à la vie privée est-elle une obligation légale ?

Smart Global Governance solution

Découvrez nos solutions sans obligation d’achat

Cet article traite de l’évaluation d’impact sur la protection des données (DPIA) et de la manière dont elle peut vous aider. Vous disposez de plusieurs types d’évaluations d’impact sur la protection des données, mais elles ne répondent pas toutes aux mêmes exigences. Sources : 15,21]

En fonction de la législation en vigueur, l’organisation peut avoir des obligations légales en matière de santé et de sécurité, et il peut être possible de justifier certaines activités liées au traitement des données personnelles comme base de ces obligations légales. Il se peut également que l’organisation puisse s’appuyer sur des bases juridiques spécifiques à d’autres pays pour s’assurer que le traitement des données personnelles est compatible avec les lois sur la protection des données. Les politiques de protection de la vie privée qui sont mises en œuvre alors que des directives officielles sont requises peuvent donner lieu à des poursuites pénales, y compris des accusations criminelles, des poursuites civiles, voire des poursuites pénales. Une évaluation de la sécurité de l’information et de la protection des données effectuée par un avocat peut également constituer une défense de privilèges juridiques si un litige s’avère nécessaire. [Sources : 14,20,10,20]

La mise en œuvre d’une EFDP exige qu’une base juridique ait été établie, que le traitement soit nécessaire dans l’intérêt public et que vous exerciez l’autorité qui vous est conférée par l’article 6, paragraphe 1, point e). Sources : 12]

Si le responsable du traitement des données n’est pas sûr qu’une DPIA soit nécessaire, la première étape pour minimiser la charge juridique est de la réaliser, mais le responsable du projet doit contacter le DPD pour obtenir des conseils supplémentaires. Une fois que vous aurez géré de manière adéquate vos risques d’atteinte à la vie privée, vous comprendrez à quel moment vous devez ou devrez réaliser une EFDP. Si un projet présente un risque élevé, il peut nécessiter une approbation légale avant qu’une telle mesure puisse être mise en œuvre. Sources : 16,1,8]

Si la mise en œuvre d’une DPIA est une obligation pour se conformer aux exigences du GDPR, ce n’est pas une activité que le service juridique peut mener seul. Elle n’a pas à être réalisée si vous traitez des données pour le compte du public en raison d’une obligation légale. [Sources : 0,14]

Pour garantir la conformité avec les lois sur la protection des données, les entreprises doivent examiner attentivement les circonstances individuelles, les exigences légales et les enquêtes afin de garantir la conformité avec le règlement sur la protection des données (GDPR). Sources : 17]

Bien qu’il ne s’agisse pas d’une exigence légale stricte, la meilleure approche consiste toujours à réaliser une évaluation d’impact sur la protection des données pour atténuer les risques d’un nouveau projet. Les analyses d’impact sur la protection des données (DPIA), anciennement connues sous le nom d’évaluations d’impact sur la protection des données, sont une exigence de bonne pratique et peuvent être réalisées le cas échéant. La loi stipule ce qui suit :  » Les règles de protection des données sont nécessaires lorsqu’une organisation propose de traiter des données personnelles d’une manière qui pourrait présenter un risque élevé pour la personne concernée « . Certaines exigences relatives à une politique de confidentialité découlent de la mise en œuvre de la législation britannique, comme la conservation des données, la sécurité des données ou la protection des données. Sources : 13,7,2,7]

Si le traitement est susceptible d’entraîner un risque élevé pour la vie privée de la personne concernée (par exemple, en ce qui concerne la conservation des données, la sécurité des données ou la protection des données), l’organisation est obligée de mettre en œuvre une DPIA. Sources : 4]

Déterminer si un DPIA est nécessaire devrait être la priorité de l’employeur lorsqu’il s’agit d’un nouveau projet RH qui entrera en vigueur à partir de mai 2018. Si l’organisation a déjà commencé à traiter de nouvelles données personnelles sans effectuer de DPIA, elle doit en effectuer un si cette activité de traitement est susceptible de déclencher une exigence de DPIA obligatoire. Une fois que les organisations ont réalisé une EFDP, elles doivent consulter l’OIC pour évaluer s’il existe un risque élevé qui ne peut être atténué et, le cas échéant, si le traitement doit être lancé en ce qui concerne la conservation des données, la sécurité des données ou la protection des données. Sources : 9,20,6]

Bien qu’une politique de confidentialité puisse parfois être légalement nécessaire, des évaluations régulières de l’impact sur la protection des données devraient être un élément clé pour identifier et minimiser les risques liés au GDPR. Bien que les exigences légales pour le moment où un DPA et les orientations de l’ICO sur la façon de mettre en œuvre une DPIA soient fixées par la loi, les lignes directrices britanniques sur la protection des données et les lignes directrices de l’ICO suggèrent qu’une évaluation de l’impact sur la vie privée peut être utile, même si elle n’est pas nécessairement requise par la loi européenne sur la protection des données. Sources : 5,11]

Bien que la publication d’une EFDP ne soit pas exigée par la législation européenne sur la protection des données, les organisations doivent considérer les avantages d’une telle publication. Bien qu’il ne s’agisse pas d’une obligation légale, il est recommandé de publier une EFDP dans son intégralité ou sous forme de résumé. Sources : 18,19]

Le DPIA ne doit être réalisé que si le traitement est susceptible d’entraîner un risque élevé pour la personne. Le DPIA doit être réalisé parce qu’il est probable qu’il y ait un « risque élevé » d’une telle personne ou s’il est réalisé pour un traitement qui conduit « probablement » à un risque élevé pour les individus, comme dans le cas de violations de données. Sources : 3,11]

Le DPIA ne devrait être mis en œuvre que pour les nouveaux projets à grande échelle impliquant l’utilisation de données personnelles lorsqu’il existe une indication concrète d’un risque élevé probable. Faire une EFDP sur un nouveau projet d’envergure impliquant l’utilisation de données personnelles est une bonne pratique, à moins qu’il n’y ait des preuves concrètes d’un risque « probable » ou « élevé », ce n’est pas une bonne pratique en cas de violations de données ou de violations de données de toute sorte. [Sources : 3,3]

Sources :

[0] : https://www.wolterskluwer.com/en-gb/expert-insights/what-in-house-lawyers-need-to-know-about-data-protection-impact-assessments-dpia
[1] : https://www.i-scoop.eu/gdpr/dpia-data-protection-impact-assessments/
[2] : https://emlaw.co.uk/data-protection/data-protection-impact-assessment-dpia-do-you-need-one/
[3] : https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/accountability-and-governance/data-protection-impact-assessments/
[4] : https://www.dentons.com/en/insights/alerts/2018/november/9/gdpr-update-november-2018-data-protection-impact-assessments
[5] : https://www.clarip.com/data-privacy/gdpr-impact-assessments/
[6] : https://www.taylorvinters.com/article/five-things-need-know-data-protection-impact-assessments
[7] : https://aru.ac.uk/about-us/governance/policies-procedures-and-regulations/data-protection/data-protection-impact-assessment
[8] : https://about.gitlab.com/handbook/engineering/security/dpia-policy/
[9] : https://mbmcommercial.co.uk/Latest-Blogs/Blogs/Data-protection-impact-assessments-what-when-and-why.html
[10] : https://www.upcounsel.com/blog/perform-data-protection-impact-assessment
[11] : https://www.privacyhelper.co.uk/dpia-impact-assessment
[13] : https://ipa.co.uk/membership/member-services/advice-support/legal/ipa-gdpr-pack/data-protection-impact-assessments-dpias
[14] : https://blog.netwrix.com/2021/02/17/data-protection-impact-assessment/
[15] : https://blog.rsisecurity.com/is-a-dpia-required-for-gdpr/
[16] : https://www.dataguidance.com/opinion/eu-how-when-and-why-carrying-out-dpia
[17] : https://guide.hoganlovellsabc.com/data-protection-in-investigations
[18] : https://medium.com/golden-data/what-is-a-data-protection-impact-assessment-dpia-under-eu-law-644e46ce9b62
[19] : https://www.lawsociety.org.uk/en/topics/the-city/gdpr-data-protection-impact-assessments
[20] : https://www.whitecase.com/publications/alert/covid-19-and-data-protection-compliance
[21] : https://dataprivacymanager.net/what-is-dpia-a-data-protection-impact-assesment/