Pourquoi une évaluation des facteurs relatifs à la vie privée est-elle nécessaire ?

Vous avez peut-être remarqué dans les nouvelles que le gouvernement a déclaré qu’il ne mènerait pas d’évaluation des facteurs relatifs à la vie privée (GDPR) pour suivre les contacts avec le coronavirus, bien qu’il reconnaisse qu’il est légalement obligé de le faire. Bien qu’une EFDP ne soit pas obligatoire, une organisation peut l’utiliser pour effectuer une évaluation afin de s’assurer que toutes les dispositions et tous les contrôles nécessaires en matière de protection des données sont en place et pour démontrer la conformité aux exigences du GDPR. Sources : 14,9,20]

S’il existe une indication concrète d’un risque élevé probable, le meilleur plan d’action est de mener une DPIA avant tout nouveau projet majeur impliquant l’utilisation de données personnelles (voir ci-dessous). S’il est probable qu’il existe des individus à haut risque, alors vous devez effectuer une EFDP. Si l’objectif du DPIA lui-même est d’identifier en détail le risque le plus élevé, vous devrez peut-être rechercher des signaux d’alarme indiquant que vous devez effectuer un DPIIA. Toutefois, si le processus est susceptible d’augmenter de manière significative le risque d’une maladie particulière (par exemple, une épidémie de coronavirus), l’AIPD n’est pas nécessaire. Sources : 0,4,8,2]

Avant toute chose, vous devez évaluer si une évaluation d’impact sur la vie privée (EIVP) est nécessaire pour votre entreprise. Cependant, il est également important de comprendre pourquoi vous effectuez une évaluation de la vie privée et quand une évaluation des risques pour la vie privée est nécessaire ou non avant la collecte des données. Sources : 17,4]

L’EFDP est nécessaire lorsque le traitement des données présente un risque élevé pour la personne concernée et la raison doit être documentée. S’il n’y a pas de preuve que le traitement n’a pas entraîné de risques élevés, cela ne suffit pas à justifier une décision contre la mise en œuvre d’un DPIA. En revanche, s’il existe des éléments indiquant que le traitement était peu probable ou n’a pas entraîné de risques élevés, la décision de ne pas poursuivre le RGPD est justifiée et c’est la base d’une analyse d’impact sur la protection des données. Sources : 7,8,21]

Si de nouvelles failles de sécurité sont identifiées ou si de nouvelles préoccupations publiques concernant le traitement sont soulevées et que vous prévoyez d’utiliser les données à caractère personnel traitées, vous devez expliquer exactement comment cela se fait. Lorsque le traitement des données est utilisé pour permettre la collecte automatisée et / ou automatisée de données sur des personnes qui peuvent avoir des conséquences juridiques ou d’une importance similaire, lorsque les données ont été ou doivent être mises à la disposition de personnes présentant un risque élevé d’abus, de fraude, de mauvais traitements ou d’autres violations graves de leur vie privée. [Sources : 8,10,5]

Le GDPR ne définit pas l’expression « une forte probabilité conduit à un risque élevé » ni ce qu’elle signifie, mais il est important de comprendre quand une analyse d’impact sur la protection des données doit être réalisée et quand vous n’êtes pas obligé de le faire. Pour déterminer quand l’évaluation d’impact sur la protection des données est nécessaire, il est important que vous compreniez clairement ce qui est considéré comme un « risque élevé ». » [Sources : 17,16,8]

En termes simples, l’EFDP ne devrait être utilisée que lorsqu’une organisation sait qu’elle planifie et qu’elle a besoin d’une analyse plus approfondie et de conseils, soit seule, soit en invitant un régulateur ou un superviseur professionnel. Toutefois, il serait judicieux d’introduire un tel processus afin que chacun puisse vérifier si une EFDP est nécessaire avant de se lancer dans tout nouveau traitement de données personnelles. Sources : 13,14]

Une analyse d’impact sur la protection des données doit consister en une analyse approfondie des activités proposées et identifier les risques qu’elles peuvent engendrer, afin que des mesures d’atténuation puissent être identifiées et mises en œuvre. La mise en œuvre d’une DPIA est une étape importante vers la protection des données personnelles, en particulier celles qui pourraient constituer une menace pour les droits et libertés des personnes. L’article 35 du GDPR exige la réalisation d’une analyse d’impact sur la protection des données pour l’introduction de nouvelles technologies et de nouveaux processus d’entreprise si ceux-ci sont susceptibles d’entraîner un risque élevé pour les droits ou libertés des personnes et / ou des membres de leur famille. L’article 35 exige que les responsables du traitement mettent en œuvre des règles de protection des données avant d’effectuer tout nouveau traitement ou traitement de données privées qui présente un risque élevé pour le droit ou la liberté d’une personne. Sources : 12,11,18,14]

L’objectif principal d’une DPIA est d’identifier et de minimiser les risques du projet en matière de protection des données. La DPIA est un processus conçu pour analyser, identifier, minimiser et atténuer la protection des données et les risques d’un projet. Il fait partie du programme d’évaluation des risques d’atteinte à la vie privée (EIVP) de l’université et constitue l’un des nombreux processus qui aident l’université à identifier, minimiser et atténuer les risques d’atteinte à la vie privée et à la protection des données dans les projets. Sources : 19,12,6]

S’il est correctement mis en œuvre, il permettra d’évaluer et de démontrer le respect des obligations en matière de protection des données. En résumé, le fait que vous deviez remplir vous-même une EFDP est un moyen utile de vous assurer que vous tenez compte de la vie privée dès le départ, sans mauvaise surprise. En tant que médecin indépendant, un certain nombre de patients nécessitent une analyse d’impact sur la protection des données plus que la moyenne. Cependant, si plusieurs critères sont réunis, les risques pour la personne concernée sont élevés et il n’est pas nécessaire de lancer le projet sans cela, une analyse d’impact sur la protection des données est donc toujours requise. Sources : 5,1,15,3].

Sources:

• [0] : https://www.itgovernanceusa.com/blog/dpias-and-why-every-organization-needs-to-conduct-them
• 1] : https://dpnetwork.org.uk/data-protection-by-design-data-protection-impact-assessments/
• 2] : https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/accountability-and-governance/data-protection-impact-assessments/
• [3] : https://www.ecomply.io/blog-en/do-i-need-a-data-protection-impact-assessment-to-avoid-gdpr-fines
• [4] : https://www.privacyhelper.co.uk/dpia-impact-assessment
• [5] : https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/data-protection-impact-assessments-dpias/what-is-a-dpia/
• [6] : https://warwick.ac.uk/services/sim/dataprotection/accountability/dataprotectionimpactassessments/
• [7] : https://www.itgovernanceusa.com/gdpr-data-protection-impact-assessments-dpias
• [8] : https://www.itgovernance.co.uk/blog/gdpr-six-key-stages-of-the-data-protection-impact-assessment-dpia
• [9] : https://dataprivacymanager.net/what-is-dpia-a-data-protection-impact-assesment/
• [10] : https://seersco.com/articles/articles/data-protection-impact-assessment-dpia/
• [11] : https://actnowtraining.wordpress.com/2020/08/27/the-importance-of-a-dpia/
• [12] : https://piwik.pro/blog/dpia-for-google-analytics/
• [13] : https://www.i-scoop.eu/gdpr/dpia-data-protection-impact-assessments/
• [14] : https://decoded.legal/blog/2020/07/data-protection-impact-assessments
• [15] : https://gdpr-info.eu/issues/privacy-impact-assessment/
• [16] : https://blog.focal-point.com/when-is-a-dpia-required-under-the-gdpr
• [17] : https://www.airiodion.com/data-protection-impact-assessment/
• [18] : https://www.clarip.com/data-privacy/gdpr-impact-assessments/
• [19] : http://www.dataprotection.ie/en/organisations/know-your-obligations/data-protection-impact-assessments
• [20] : https://www.corporatecomplianceinsights.com/pias-gdpr-dpias-best-practice-guide/
• [21] : https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-