Quand faut-il effectuer une analyse d’impact sur la protection des données ?

Smart Global Governance solution

Découvrez nos solutions sans obligation d’achat

ESSAI GRATUIT 15 JOURS

Il faut expliquer ci-dessous comment vous pouvez déterminer quand vous devez effectuer une analyse d’impact sur la protection des données et comment vous pouvez en assurer le suivi. La DPia est effectuée sur tout projet qui implique le traitement de données, la première étape est une évaluation initiale qui identifie ce qui est nécessaire et quand elle fonctionne, le vrai travail peut commencer. Elle est ensuite mise en œuvre afin que ses conclusions et recommandations puissent être intégrées dans la conception, le traitement et le fonctionnement du projet et dans la mise en œuvre des politiques et procédures de protection des données. Elle est également réalisée dans le cadre de la conception et de la mise en œuvre globales d’un projet, tel que la construction de nouveaux bâtiments, installations ou infrastructures, et procède à une évaluation de son impact potentiel sur l’environnement et les données qu’elle trouve et peut alimenter des recommandations dans la conception et le traitement. [Sources : 21,16,15,14]

L’APPD devrait être exécutée au cours du processus de planification et de développement et devrait commencer dès que possible après le début du traitement. Les ÉPID devraient commencer au moins deux ans avant le début de la transformation et non avant le début de la transformation. Sources : 24,4]

Il peut être nécessaire de mettre à jour le DPIA une fois que le traitement a effectivement commencé, mais cela ne s’applique pas au report ou à la non mise en œuvre du DPIA. Une mise à jour du DPIA après le début du traitement n’est pas non plus une raison valable pour reporter et / ou ne pas effectuer un DPIIA après le début du traitement. Sources : 22,17]

Lorsque l’on détermine quand le DPIA est nécessaire, il est important d’avoir une évaluation objective de ce qui est considéré comme un risque élevé. Les risques doivent être évalués afin d’identifier les risques et les hauts risques du traitement des données par des évaluations objectives. En cas de doute ou s’il est difficile de déterminer le risque le plus élevé, le DPIA ne doit pas être réalisé. Sources : 1,25,9]

Si votre entreprise doit se conformer au GDPR, vous devrez éventuellement procéder à une analyse d’impact sur la protection des données (DPIA). Si vous avez commencé à utiliser de nouvelles méthodes ou technologies pour traiter vos données ou si vous souhaitez utiliser vos données à d’autres fins, vous pouvez avoir besoin d’une politique de confidentialité pour le faire. Le responsable du traitement doit évaluer les activités de traitement existantes pour déterminer si une évaluation est nécessaire ou s’il envisage déjà de relancer le DPIA. Les autorités de protection des données doivent examiner si une consultation préalable est nécessaire avant le traitement. Sources : 12,25,20,2]

En tant que meilleure pratique, le groupe de travail Article 29 recommande que le DPIA soit relancé dans les trois ans ou plus tôt si les circonstances changent rapidement. Dans les cas où il n’est pas clair si une EFDP doit être mise en œuvre, l’orientation du régulateur est qu’elle devrait toujours être mise en œuvre, car elle a été un outil utile pour la conformité au GDPR. Lorsqu’une DPIA est réalisée, la question peut se poser de savoir si elle doit être répétée pendant la durée de vie d’un traitement. Sources : 18,22,10]

Il est conseillé de commencer par une DPIA, et il est préférable de le faire, mais si un seul de ces facteurs est présent, alors il n’est pas nécessaire de l’avoir faite car elle a déjà eu lieu. Si une organisation prévoit d’entreprendre le traitement décrit afin de se conformer au GDPR, elle doit le faire dès que possible. Toutefois, dans la plupart des traitements pour lesquels une telle évaluation est nécessaire, il sera plus facile dans certains cas d’exposer les cas où une DPIA n’est pas nécessaire, comme dans le cas d’une violation de données. Sources : 13,8,0,19]

Si une EFDP fait partie du concept de protection des données, les responsables du traitement doivent commencer à la concevoir le plus tôt possible, même s’ils ne connaissent pas encore le processus de traitement. Une fois que le traitement a commencé et que le système a été identifié, un examen de la protection de la vie privée devrait commencer immédiatement. Sources : 3,7]

N’oubliez pas qu’une EFDP doit être réalisée chaque fois que des données personnelles sont traitées et que le traitement est considéré comme à haut risque, comme dans le cas d’une attaque terroriste [Sources : 23]. Sources : 23]

Les directives contiennent neuf critères à prendre en compte pour évaluer si un traitement est susceptible d’entraîner un risque élevé pour une personne physique. Pour déterminer si le traitement « est susceptible d’entraîner un risque élevé », il convient de tenir compte de la probabilité, de la gravité et du dommage potentiel. Des analyses d’impact sur la protection des données doivent également être réalisées lorsque le traitement pourrait entraîner non seulement la perte de données à caractère personnel, mais aussi une atteinte à la vie privée d’autrui. Lors de l’évaluation de la pertinence des directives européennes, il convient de prendre en compte les opérations de traitement qui sont « très probablement » susceptibles d’entraîner un risque plus élevé. [Sources : 9,0,4,11]

Les organisations sont tenues d’effectuer une évaluation des risques liés au traitement des données à tout moment lorsque le traitement des données présente un risque élevé pour les droits et libertés des personnes. L’autorité de surveillance nationale (AS) est tenue de « déterminer et décider si une activité de traitement nécessite une DPIA. » Le GDPR lui-même prévoit la mise en œuvre de la directive sur la protection des données (GDPR) dans le cadre des mesures de protection des données. [Sources : 6,5]

Sources:

  • [0] : https://emlaw.co.uk/data-protection/data-protection-impact-assessment-dpia-do-you-need-one/
  • 1] : https://blog.focal-point.com/when-is-a-dpia-required-under-the-gdpr
  • 2] : https://business.gov.nl/regulation/data-protection-impact-assesment-dpia/
  • [4] : https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/accountability-and-governance/data-protection-impact-assessments/
  • [5] : https://blog.netwrix.com/2021/02/17/data-protection-impact-assessment/
  • [6] : https://legalict.com/2019/04/10/when-is-a-dpia-mandatory-according-to-the-belgian-data-protection-authority/
  • [7] : https://about.gitlab.com/handbook/engineering/security/dpia-policy/
  • [8] : https://gdprinformer.com/gdpr-articles/impact-assessments-guide
  • [9] : https://gdpr-info.eu/issues/privacy-impact-assessment/
  • [10] : https://www.ucc.ie/en/gdpr/policyandprocedures/dataprotectionimpactassessmentprocedure/
  • [11] : https://www.shlegal.com/insights/article-29-data-protection-working-party-gdpr-guidelines-on-data-protection-impact-assessments
  • [12] : https://www.avocats-mathias.com/donnees-personnelles/dpia-analyse-impact
  • [13] : https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/data-protection-impact-assessments-dpias/when-do-we-need-to-do-a-dpia/
  • [14] : https://www.itgovernanceusa.com/gdpr-data-protection-impact-assessments-dpias
  • [15] : https://www.itgovernance.eu/en-ie/gdpr-data-protection-privacy-impact-assessments-ie
  • [16] : https://www.linkedin.com/pulse/data-protection-impact-assessment-dpia-what-how-relevant-zahra-shah
  • [17] : https://lazarusalliance.com/benefits-of-a-dpia/
  • [18] : https://www.keele.ac.uk/informationgovernance/fortheuniversity/dataprotection/privacybydesign/dataprotectionimpactassessments/
  • [19] : https://www.dentons.com/en/insights/alerts/2018/november/9/gdpr-update-november-2018-data-protection-impact-assessments
  • [20] : https://legalvision.com.au/how-do-i-carry-out-a-data-protection-impact-assessment-under-the-gdpr/
  • [21] : https://gdpr.eu/data-protection-impact-assessment-template/
  • [22] : http://www.dataprotection.ie/en/organisations/know-your-obligations/data-protection-impact-assessments
  • [23] : https://blog.bearer.sh/data-protection-impact-assessment-dpia/
  • [24] : https://medium.com/golden-data/what-is-a-data-protection-impact-assessment-dpia-under-eu-law-644e46ce9b62
  • [25] : https://www.compliancejunction.com/high-high-risk-gdpr/