Pourquoi une EIPD est-elle nécessaire ?

Smart Global Governance solution

Découvrez nos solutions sans obligation d’achat

Il y sera expliquer ci-dessous comment déterminer si vous devez réaliser une analyse d’impact sur la protection des données, puis il sera expliquer brièvement comment réaliser une analyse d’impact sur la protection des données et comment elle fonctionne. [Sources : 1]

Pour déterminer la nécessité d’une DPIA, vous devez fournir une description détaillée de ce que le projet réalisera et du type de processus qu’il impliquera. Le RGPD ne définit pas l’expression « risque élevé probable », alors qu’est-ce que cela signifie, que signifie la définition de « risque élevé » ? Il y a un risque élevé si l’étendue ou la fréquence du traitement affecte ou porte atteinte au droit à la liberté des données d’une personne concernée. Par conséquent, l’ADPIA exige une analyse d’impact sur la protection des données pour chaque traitement lorsque la probabilité que l’utilisation d’une nouvelle technologie ou la prise en compte de la nature, de la portée, du contexte ou de la finalité du traitement puisse entraîner une perte ou une atteinte aux droits, aux libertés, à la vie privée ou à la sécurité des informations comporte un risque accru d’atteinte aux droits ou aux libertés de tout sujet, comme une violation de la vie privée, de la sécurité ou de la sécurité des données. [Sources : 2,13,18]

Cependant, il est également important de comprendre pourquoi une évaluation DPIA est nécessaire et quand une évaluation des risques pour la vie privée est nécessaire ou non avant la collecte des données. En termes simples, une DPIA est utilisée lorsqu’une organisation est tellement préoccupée par quelque chose qu’elle prévoit de faire qu’elle a besoin d’une analyse plus approfondie et de conseils avant d’inviter les autorités de réglementation ou les organismes professionnels. Il est important que vous compreniez quand les analyses d’impact sur la protection des données doivent être effectuées, quand vous êtes obligé de le faire et quand vous ne l’êtes pas, et quelles exigences le RGPD impose. [Sources : 17,6,6]

Dans les cas où il n’est pas clair si une DPIA est obligatoire, la mise en œuvre peut être un outil utile pour aider les responsables du traitement des données à se conformer aux lois sur la protection des données. Dans le cas d’une évaluation des risques liés à la vie privée, où il peut ne pas être clair si le RGPD est strictement obligatoire ou non, la mise en œuvre d’une DPIA peut être une étape importante pour aider le responsable du traitement à se conformer au RGPD, et même dans les cas où, par exemple, il n’est pas clair si une DPIA est « strictement obligatoire », la mise en œuvre d’une DPIA peut toujours être un outil utile et utile pour le contrôle et la protection des données. [Sources : 8]

Si vous franchissez cette étape, vous n’êtes pas obligé de suivre toutes les autres étapes du RGPD, comme l’évaluation des risques d’atteinte à la vie privée, mais vous pouvez tout de même souhaiter franchir cette étape. Dans certains cas, une DPIA ne sera pas nécessaire et la conformité peut sembler intimidante à première vue ou être une tâche excessivement lourde et longue, surtout dans les cas où elle n’est pas strictement obligatoire. [Sources : 6,14]

Si vous avez conclu qu’une EFDP n’est pas nécessaire, recommander de préparer un mémo expliquant pourquoi vous êtes arrivé à cette conclusion. Lorsque vous décidez si une EFDP est nécessaire ou non, il est important de vérifier auprès de votre contrôleur sur le site de l’ICO. [Sources : 4,11]

Le RGPD résume les 3 cas où une DPIA est requise et souligne l’importance de la loi sur la protection des données afin de vous redonner une idée de ce qui est vraiment important du point de vue du risque des données personnelles dans le cadre du RGPD. [Sources : 17]

Cependant, si plusieurs critères sont remplis, on s’attend à ce que le risque pour la personne concernée soit élevé et donc qu’une DPIA soit nécessaire. Le groupe de travail a estimé que plus les critères de traitement sont remplis, plus il est probable qu’il y ait un risque élevé pour la protection des données personnelles au titre du RGPD, et donc qu’une analyse d’impact sur la protection des données est toujours nécessaire. Une autorité nationale de contrôle (AS) est obligée d’établir et de dresser une liste des activités de traitement requises par l’EFDP, et le CEPD a demandé à l’autorité de protection des données d’inclure certains types de traitement dans sa liste, de supprimer d’autres types qu’elle ne considère pas comme présentant un « risque élevé » pour les personnes concernées et d’appliquer ces critères de manière harmonisée. Comme le prévoit le RGPD lui-même, une analyse d’impact sur la protection des données (RGPD) est préparée pour chaque activité de traitement. [Sources : 16,5,3,15]

Le RGPD exige qu’une RGPD soit mise en œuvre le plus tôt possible en cas de processus à risque. Un examen régulier des risques est nécessaire pour déterminer si un traitement est susceptible d’entraîner un risque élevé dès la construction de la plateforme (dans ce cas, une ville intelligente), ou si l’on considère qu’il s’agit d’un risque qui n’existait pas auparavant. [Sources : 0,7]

La mise en œuvre d’un DPIA est essentielle pour tout processus, système ou projet soumis au RGPD, et pas seulement pour le projet Smart City. L’art. 35 impose à une organisation de réaliser une DPIA lorsqu’une activité de traitement est susceptible de présenter un risque élevé de violation de la loi sur la protection des données (LPD) ou de la Convention européenne sur les droits civils et politiques (CEDP). Un DPIA est nécessaire lorsque la probabilité que le traitement entraîne une violation est plus de 10 fois supérieure au traitement qui en résulte. [Sources : 10,12,9]

Sources:

  • [1] : https://gdpr.eu/data-protection-impact-assessment-template/
  • [2] : https://termageddon.com/gdpr-data-protection-impact-assessment/
  • [3] : http://www.dataprotection.ie/en/organisations/know-your-obligations/data-protection-impact-assessments
  • [4] : https://flowz.co.uk/dpia-qa/
  • [5] : https://www.trilateralresearch.com/do-you-need-a-dpia-the-view-from-ireland/
  • [6] : https://www.airiodion.com/data-protection-impact-assessment/
  • [7] : https://www.keele.ac.uk/informationgovernance/fortheuniversity/dataprotection/privacybydesign/dataprotectionimpactassessments/
  • [8] : https://www.nuigalway.ie/data-protection/staffandstudentresources/dataprotectionimpactassessments/
  • [9] : https://www.shlegal.com/insights/article-29-data-protection-working-party-gdpr-guidelines-on-data-protection-impact-assessments
  • [10] : https://www.qmsuk.com/news/what-is-a-data-protection-impact-assessment
  • [11] : https://www.partnervine.com/blog/what-is-a-dpia
  • [12] : https://privaon.com/publications-news/blogs/data-protection-impact-assessment-dpia/
  • [13] : https://globaldatahub.taylorwessing.com/article/exploring-data-protection-impact-assessments
  • [14] : https://blog.bearer.sh/data-protection-impact-assessment-dpia/
  • [15] : https://gdpr-info.eu/issues/privacy-impact-assessment/
  • [16] : https://legalict.com/2019/04/10/when-is-a-dpia-mandatory-according-to-the-belgian-data-protection-authority/
  • [17] : https://www.i-scoop.eu/gdpr/dpia-data-protection-impact-assessments/
  • [18] : https://www.itgovernance.co.uk/blog/gdpr-six-key-stages-of-the-data-protection-impact-assessment-dpia