Pourquoi mener une Dpia ?

Smart Global Governance solution

Découvrez nos solutions sans obligation d’achat

ESSAI GRATUIT 15 JOURS

Une évaluation de l’impact sur la vie privée, parfois appelée évaluation de l’impact sur la vie privée (PIA), est un outil qui décrit comment vous avez l’intention de traiter et de protéger les informations personnelles d’une personne (PI / PII). Plus précisément, une DPIA est une évaluation de la manière dont un processus particulier affecte la protection des données personnelles et la manière dont il affecte la vie privée. Sources : 3,14,6]

En termes simples, une évaluation des incidences sur la vie privée est une bonne idée pour s’assurer que votre organisation est responsable lorsqu’il s’agit de collecter des données auprès de particuliers. Cependant, il est également important de comprendre pourquoi vous réalisez une évaluation DPIA et quand une évaluation des risques pour la vie privée est nécessaire ou non avant la collecte des données. Par exemple, le GDPR n’est pas pertinent pour toutes les organisations, mais sa mise en œuvre peut contribuer à minimiser la probabilité et la gravité des violations de données et vous aider à vous conformer à d’autres règles de protection des données. Les accords de confidentialité sont souvent utilisés lorsque les organisations ne sont pas sûres de ce qu’elles veulent faire ou ont besoin d’une analyse plus approfondie ou de conseils avant d’inviter les régulateurs ou les contrôleurs professionnels. Sources : 12,13,2,2]

Comment savoir si une EFDP est nécessaire avant d’évaluer si vous devez la réaliser, et comment les questions de sélection aident-elles vos utilisateurs à déterminer s’ils doivent la réaliser ? Vous pouvez utiliser les étapes décrites dans la section ci-dessus ou créer une question de dépistage pour l’entrepreneur ou le gestionnaire de projet afin de déterminer si un DPIA est nécessaire ou non. Les questions de filtrage peuvent également être utilisées en conjonction avec une évaluation des risques et un accord de protection des données. Sources : 11,1,6]

Sans expliquer le pourquoi du comment, il faut souligner les étapes décrites dans le modèle d’évaluation des risques et de la protection de la vie privée ouvrent la porte aux clients et aux employés individuels qui ont accès aux données que vous collectez pour passer par une DPIA. Sources : 2]

Dans les cas où il n’est pas clair si une DPIAest obligatoire, sa mise en œuvre peut être un outil utile pour aider les responsables du traitement des données à se conformer aux lois sur la protection des données. Il est important de comprendre quand une analyse d’impact sur la protection des données doit être réalisée et quand vous n’êtes pas obligé de le faire. La mise en œuvre correcte de ce processus est bénéfique en cas de litige ou d’incident lié à la protection des données. Si l’on ne sait pas si la DPIA est strictement prescrite ou si elle ne s’applique qu’à certains types de données, sa mise en œuvre peut ne pas être aussi utile qu’elle aurait pu l’être à d’autres fins, par exemple pour aider le responsable du traitement à se conformer à la réglementation en matière de protection des données. Sauf dans le cas d’une violation de données privées, auquel cas ils peuvent être des outils utiles pour aider le responsable du traitement à se conformer aux lois sur la protection des données, dans d’autres cas, ils peuvent ne pas l’être. [Sources : 5,2,9,9]

En résumé, le fait que vous deviez remplir vous-même une DPIA est un moyen utile de garantir que la protection des données est prise en compte dès le départ, sans mauvaise surprise. Lorsque vous démarrez un projet, la réalisation d’une DPIA au début du projet vous aidera à consolider le traitement que vous effectuez et les données qui doivent être collectées pour vous assurer que vous êtes en conformité avec les règles. Sources : 1,14]

Par exemple, un projet qui consiste à traiter des tests psychométriques peut prendre en charge une catégorie spécifique de données que vous traitez. L’utilisation d’outils visuels tels que des organigrammes pour documenter la manière dont les informations sont utilisées pour cette partie du projet peut vous aider à identifier les risques potentiels pour la vie privée. La DPIA peut également être mis en œuvre au début de tout projet, même si ce n’est que pour un seul projet. Sources : 11,11,7]

Dans les cas où il n’est pas clair si une DPIAest requise, il est recommandé de la mettre en œuvre de toute façon, car il s’agit d’un outil utile pour aider les contrôleurs à se conformer aux lois sur la protection des données. Même si la législation européenne sur la protection des données ne prévoit pas d’évaluation stricte de l’impact sur la vie privée, les évaluations de l’impact sur la vie privée peuvent toujours être utiles. L’utilisation d’un bon modèle de DPIA peut faire une grande différence dans la durée d’une évaluation d’impact sur la protection des données. Sources : 4,8,2]

Si l’activité de traitement est susceptible de présenter un risque élevé pour les droits d’une personne, l’organisation doit procéder à une analyse d’impact sur la protection des données (DPIA). L’organisation peut souhaiter tenir un registre des risques liés à la vie privée pour décrire les risques associés au projet et évaluer la probabilité de leur impact. Sources : 11,0]

Sources:

  • 0] : https://privaon.com/publications-news/blogs/data-protection-impact-assessment-dpia/
  • 1] : https://dpnetwork.org.uk/data-protection-by-design-data-protection-impact-assessments/
  • 2] : https://www.airiodion.com/data-protection-impact-assessment/
  • [3] : https://www.taylorvinters.com/article/five-things-need-know-data-protection-impact-assessments
  • [4] : https://blog.rsisecurity.com/how-do-you-perform-a-dpia/
  • [5] : https://www.privacypolicies.com/blog/conducting-data-protection-impact-assessment/
  • [6] : https://www.itgovernanceusa.com/blog/dpias-and-why-every-organization-needs-to-conduct-them
  • [7] : https://www.ecomply.io/blog-en/do-i-need-a-data-protection-impact-assessment-to-avoid-gdpr-fines
  • [8] : https://www.clarip.com/data-privacy/gdpr-impact-assessments/
  • [9] : https://www.nuigalway.ie/data-protection/staffandstudentresources/dataprotectionimpactassessments/
  • [10] : https://www.itgovernance.eu/en-ie/gdpr-data-protection-privacy-impact-assessments-ie
  • [11] : http://www.dataprotection.ie/en/organisations/know-your-obligations/data-protection-impact-assessments
  • [12] : https://www.i-scoop.eu/gdpr/dpia-data-protection-impact-assessments/
  • [13] : https://www.lepide.com/blog/what-is-a-data-protection-impact-assessment-dpia/
  • [14] : https://blog.bearer.sh/data-protection-impact-assessment-dpia/