Pourquoi remplir une Dpia ?

Dans leur nouveau livre Data Privacy in India, Razia Begum et Rachel Ashwood répondent à des questions sur les évaluations d’impact sur la vie privée qu’elles ont réalisées sur des données personnelles. [Sources : 7]

Une évaluation d’impact sur la protection des données (DPIA) constitue un moyen méthodologique et complet d’analyser le traitement des données personnelles et d’aider à identifier et à atténuer les risques liés à la protection des données. L’analyse d’impact sur la protection des données (AIPD) est une méthode d’analyse méthodologique et complète du traitement et aide à identifier ou à réduire les risques liés à la protection des données. Elle constitue une étape importante dans l’élaboration d’une politique globale de protection des données en Inde. Un DPia est la méthode d’analyse et de minimisation du traitement et aide à identifier / minimiser les risques liés à la protection des données. Une DPIA et une évaluation des risques liés à la protection des données sont des moyens d’analyser le traitement de manière systématique et complète et aident à identifier ou à minimiser les risques liés à la protection des données. [Sources : 14,12,8,12]

Une DPIA aidera à faire face au risque pour les droits et libertés des personnes physiques découlant du traitement des données à caractère personnel en évaluant les risques pour eux et en définissant des mesures pour les combattre. [Sources : 16]

Il faut élaborer ce guide afin de déterminer si une EFDP est nécessaire pour cette initiative et, le cas échéant, comment réaliser l’évaluation. Les réponses aux questions de dépistage peuvent être tirées de diverses sources, telles que le Pacte international relatif aux droits civils et politiques (PIDCP). Il faut créer un guide pour les entrepreneurs et les applications dirigées par des projets qui aide à identifier si une DPIA était nécessaire ou non et pourquoi ce besoin a été reconnu. [Sources : 3,12,4]

Il faut aider à compléter cette étape de l’évaluation de l’impact sur la vie privée en utilisant les meilleurs modèles disponibles pour le DPIA et le RGPD. Il faut choisir ce format car il vous permet de saisir toutes les informations requises pour les évaluations d’impact sur les données RGPD et vous fournit un rapport d’évaluation complet. [Sources : 5,5]

Il faut expliquer ci-dessous comment vous déterminez quand vous devez effectuer un audit de confidentialité, suivi d’instructions étape par étape sur la façon dont est réaliser l’évaluation de l’impact sur la vie privée. Vous pouvez utiliser n’importe laquelle des étapes décrites dans la section ci-dessus, mais vous pouvez tout de même les compléter. Identifiez la nécessité d’une EFDP et fournissez des informations sur les objectifs du projet et la nature du processus qu’il impliquera. La DPIA est nécessaire pour évaluer comment et quoi exécuter et si elle n’est pas nécessaire pour votre projet spécifique, comme un projet de protection des données. [Sources : 0,10,6,19]

En bref, elle indique le type de traitement à effectuer par l’analyse d’impact sur la protection des données. Cela devrait inclure les risques de sécurité, y compris les types de violations, notamment les violations de données, le vol de données, l’accès non autorisé aux données et la conservation des données. En ce qui concerne les analyses d’impact du RGPD, cela signifie que la nature des données collectées est susceptible d’entraîner une atteinte aux droits des personnes. [Sources : 18,5,12]

Si l’objectif du DPIA est d’identifier en détail les risques élevés, vous devez rechercher les drapeaux rouges qui indiquent ce que vous devez faire. S’il existe une indication spécifique d’un risque élevé probable, le meilleur plan d’action est de mettre en œuvre une déclaration de protection des données pour tout nouveau projet à grande échelle impliquant l’utilisation de données personnelles, même s’il n’existe aucune indication concrète de risques probablement plus élevés. La bonne pratique consiste également à effectuer une DPIA pour tout projet d’envergure impliquant l’utilisation de données personnelles – même s’il n’existe aucune preuve concrète d’un risque plus élevé « probable ». [Sources : 11,1,17]

En plus de garantir que vous vous conformez aux règles, la mise en œuvre d’un DPIA au début du projet permettra de déterminer qui effectue le traitement et quelles données doivent être collectées, et de garantir que tout cela est conforme aux règles. Au lieu d’utiliser une méthode ad hoc pour compléter et enregistrer l’évaluation, la plateforme RGPD CENTRL automatise l’ensemble du processus en créant un fichier d’évaluation unique que chacun peut utiliser comme contribution au contenu, à la collaboration et à l’analyse, établissant ainsi un nouveau processus d’évaluation d’impact au sein de l’architecture de plateforme commune de CENTRL. [Sources : 0,2,2]

Une DPIA exige que les opérations de traitement prévues comprennent des données biométriques permettant d’identifier les individus de manière unique. Lorsqu’une organisation fusionne ou compare des données collectées à des fins différentes, elle doit réaliser une DPIA pour chaque collecte de données. Une DPIA est nécessaire chaque fois que l’organisation est confrontée à un nouveau type de données, comme les données biométriques, la reconnaissance faciale, les empreintes digitales ou d’autres formes d’identification. [Sources : 13,13,1]

Une EFDP est une obligation légale lorsque le responsable du traitement prévoit des activités de traitement susceptibles d’entraîner un risque élevé pour les droits et libertés de la personne. L’article 35 exige que les responsables du traitement effectuent une DPIA avant de réaliser des activités de traitement conduisant à la collecte de données à caractère personnel qui comportent un risque élevé pour le droit et la liberté d’une personne. La mise en œuvre de la politique de confidentialité est nécessaire pour tout type de traitement, y compris certains modes de traitement spécifiés qui sont susceptibles, mais pas strictement nécessaires, d’entraîner un risque élevé ou d’entraîner des risques élevés pour les droits ou la liberté de la personne, comme la biométrie, la reconnaissance faciale ou d’autres formes d’identification. [Sources : 9,15,20]

Sources:

• [0] : https://blog.bearer.sh/data-protection-impact-assessment-dpia/
• [1] : https://normcyber.com/advisory-notes/data-protection-impact-assessment/
• [2] : https://www.oncentrl.com/resources/pia-and-dpia-automation/
• [3] : https://www.dur.ac.uk/ig/dp/dpia/
• [4] : https://dpnetwork.org.uk/data-protection-by-design-data-protection-impact-assessments/
• [5] : https://www.airiodion.com/data-protection-impact-assessment/
• [6] : https://gdpr.eu/data-protection-impact-assessment-template/
• [7] : https://www.taylorvinters.com/article/five-things-need-know-data-protection-impact-assessments
• [8] : https://lazarusalliance.com/benefits-of-a-dpia/
• [9] : https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/data-protection-impact-assessments-dpias/what-is-a-dpia/
• [10] : http://www.dataprotection.ie/en/organisations/know-your-obligations/data-protection-impact-assessments
• [11] : https://www.itgovernance.co.uk/blog/gdpr-six-key-stages-of-the-data-protection-impact-assessment-dpia
• [12] : https://www.ucc.ie/en/gdpr/policyandprocedures/dataprotectionimpactassessmentprocedure/
• [13] : https://blog.netwrix.com/2021/02/17/data-protection-impact-assessment/
• [14] : https://thedataprivacygroup.com/premium-blog/2019/8/19/the-five-steps-to-a-gdpr-impact-assessment
• [15] : https://actnowtraining.wordpress.com/2020/08/27/the-importance-of-a-dpia/
• [16] : https://onderzoektips.ugent.be/en/tips/00001853/
• [17] : https://www.nuigalway.ie/data-protection/staffandstudentresources/dataprotectionimpactassessments/
• [18] : https://www.ecomply.io/blog-en/do-i-need-a-data-protection-impact-assessment-to-avoid-gdpr-fines
• [19] : https://termageddon.com/gdpr-data-protection-impact-assessment/
• [20] : https://dataprivacymanager.net/what-is-dpia-a-data-protection-impact-assesment/