Découvrez nos solutions sans obligation d’achat
Les évaluations d’impact sur la protection des données (EIPD) ont fait l’objet de nombreux débats récemment et sont devenues, à juste titre, l’une des questions les plus importantes en matière de protection des données dans le monde. Les EIPD sont utilisées pour identifier et atténuer les risques liés à la protection des données et sont souvent utilisées pour mettre en œuvre de nouveaux processus commerciaux ou pour reprendre une nouvelle entreprise. Une organisation peut également mettre en œuvre une politique de confidentialité avant de mener de nouvelles activités de traitement des données ou de modifier des activités de traitement existantes, comme l’utilisation de nouvelles technologies. [Sources : 14,3,0]
L’EFDP évalue efficacement l’impact que les activités de traitement des données à haut risque pourraient avoir sur la personne concernée dans une sorte d’évaluation des risques. Le DPIA est une évaluation complète des implications sur la vie privée et des facteurs de risque qui peuvent survenir lors du traitement des données personnelles. Si les personnes à haut risque ne sont pas identifiées, la DPIA peut servir de base à une politique de protection des données, un document dynamique qui évolue dans le temps et se modifie lui-même au fil du temps. [Sources : 2,5,10]
L’utilisation d’un bon modèle DPIA peut faire une grande différence dans la durée d’une évaluation d’impact sur la protection des données. Si vous devez utiliser le modèle d’évaluation des risques pour la vie privée pour certaines activités de traitement ou de collecte de données, faites-le dès que possible après le début du traitement des données, et s’il est nécessaire que vous l’utilisiez avant de commencer le traitement des données, faites-le dès que possible. [Sources : 1,1,1]
L’évaluation des facteurs relatifs à la vie privée et à la protection des données doit commencer le plus tôt possible après le début effectif du traitement, que ce soit par la conception de procédures ou d’opérations spécifiques, l’achat de technologies ou même avant le début du traitement. Le DPIA, qui aurait dû commencer avant le début de la transformation, même si vous avez conçu ou acheté la technologie. [Sources : 12]
Le DPIA devrait être effectué pendant le processus de planification et de développement et devrait commencer dès que possible après le début du processus. DPIA, qui aurait dû commencer avant le début du traitement, même si vous avez conçu et acheté la technologie. Si vous découvrez un problème fondamental de protection de la vie privée alors que la DPIPIA est déjà en cours, vous aurez un choix difficile à faire après le début du traitement. [Sources : 4,9,12]
Une évaluation de l’impact sur la protection des données au début du projet écartera les problèmes potentiels, même si la façon dont les données sont partagées entre les projets expose votre projet au risque d’être violé. Si vous constatez des risques élevés qui ne peuvent être atténués, consultez l’ICO avant de commencer le traitement. [Sources : 9,1]
Cependant, il est également important de comprendre pourquoi une évaluation DPIA est effectuée et quand une évaluation des risques d’atteinte à la vie privée n’est pas nécessaire avant la collecte des données. Il faut expliquer comment déterminer quand vous devez effectuer une évaluation d’impact sur la protection des données et comment vous pouvez le faire. S’il est nécessaire d’expliquer le pourquoi et le comment, il faut souligner l’importance des étapes définies dans le modèle d’évaluation des risques liés à la protection des données. [Sources : 1,15,1]
Il est important de comprendre quand une évaluation d’impact sur la protection des données doit être réalisée et quand vous n’êtes pas obligé de le faire. Une organisation qui ne dispose pas d’une procédure standard pour ces évaluations peut avoir des difficultés à savoir exactement quand elle est légalement obligée d’évaluer les risques liés aux données. [Sources : 1,6]
Ils recherchent souvent des organisations qui veulent se renseigner sur le DPIA et le RGPD et ils peuvent être utilisés pour réaliser les évaluations d’impact sur la protection des données nécessaires. Vous pouvez également utiliser des modèles d’évaluation de l’impact sur les données pour identifier les zones problématiques potentielles, afin de disposer de suffisamment de temps pour les corriger avant de commencer à collecter des données individuelles. Les entreprises doivent lancer une évaluation d’impact sur la protection des données dès le début du développement et de la conception du projet et la considérer comme faisant partie du processus global de planification et de développement du projet. Si votre organisation doit se comporter et impliquer le délégué à la protection des données (DPD) dans la compilation et la vérification de l’impact de sa collecte et de son traitement des données, il sera nécessaire de la compiler le plus tôt possible. [Sources : 1,1,13,1]
En réalisant une évaluation de l’impact sur la vie privée au début du projet pour identifier les vulnérabilités, vous pouvez réduire le risque d’identifier des solutions de cybersécurité d’urgence au milieu et à la fin de votre projet. [Sources : 1]
Bien que la publication d’une EFDP ne soit pas obligatoire en vertu de la législation européenne sur la protection des données, les organisations doivent considérer les avantages de cette publication. L’article 35 du RGPD prévoit une circonstance où aucune évaluation d’impact sur la protection des données n’est requise. [Sources : 4,7]
Si l’AIPD détecte un risque élevé de traitement des données et que le responsable du traitement n’est pas en mesure d’atténuer ce risque pour des raisons technologiques ou de coûts de mise en œuvre, il doit consulter une autorité de contrôle. Ainsi, les responsables du traitement qui ont commencé à développer des villes intelligentes et à traiter des données personnelles avant l’entrée en vigueur du RGPD devraient également procéder à un examen et à une politique de confidentialité. Une analyse d’impact sur la protection des données devrait être réalisée si le traitement des risques entraîne une violation de la directive sur la protection des données (DPD) ou d’autres lois européennes. [Sources : 8,11,11]
Sources:
- [0] : https://dataprivacymanager.net/what-is-dpia-a-data-protection-impact-assesment/
- [1] : https://www.airiodion.com/data-protection-impact-assessment/
- [2] : https://www.itgovernance.co.uk/blog/gdpr-six-key-stages-of-the-data-protection-impact-assessment-dpia
- [3] : https://blog.focal-point.com/understanding-the-differences-between-pias-and-the-gdprs-dpias
- [4] : https://medium.com/golden-data/what-is-a-data-protection-impact-assessment-dpia-under-eu-law-644e46ce9b62
- [5] : https://business.gov.nl/regulation/data-protection-impact-assesment-dpia/
- [6] : https://www.csoonline.com/article/3445424/when-and-how-to-write-a-gdpr-dpia.html
- [7] : https://www.i-scoop.eu/gdpr/dpia-data-protection-impact-assessments/
- [8] : https://gdpr-info.eu/issues/privacy-impact-assessment/
- [9] : https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/accountability-and-governance/data-protection-impact-assessments/
- [10] : https://www.gdprregister.eu/gdpr/data-protection-impact-assessment-guide/
- [11]: https://www.tandfonline.com/doi/full/10.1080/13600834.2020.1790092
- [12] : https://protecture.co.uk/5-common-mistakes-made-with-dpias/
- [13] : https://infopulse-scm.com/blog/blog-pia-or-dpia/
- [14] : https://lighthouseig.com/2020/07/20/measuring-data-protection-impact-are-your-dpias-working/