Quand l’AIPD est-elle réalisée ?

Smart Global Governance solution

Découvrez nos solutions sans obligation d’achat

ESSAI GRATUIT 15 JOURS

Une analyse d’impact sur la protection des données (AIPD) est un processus qui aide les organisations à identifier et à minimiser les risques liés au traitement des données. Il faut examiner ce que sont les analyses d’impact sur la protection des données, ce qu’elles comprennent, quand elles sont nécessaires et comment elles doivent être réalisées. Une analyse d’impact sur la protection des données (AIPD) est un outil qui identifie les risques pour les données d’un individu ou d’un groupe d’individus, comme un utilisateur, une entreprise ou une organisation. Elle est utilisée pour évaluer la nécessité du traitement des données et pour évaluer l’impact potentiel du traitement des données sur la vie privée, les droits et la sécurité de cette personne. Sources : 3,16,10,13]

Si votre entreprise doit se conformer au GDPR, vous devrez éventuellement procéder à une analyse d’impact sur la protection des données (DPIA). Les responsables du traitement des données doivent déjà envisager les méthodes de mise en œuvre d’une déclaration de protection des données et évaluer les activités de traitement existantes pour déterminer si un tel examen sera nécessaire. Une analyse d’impact sur la protection des données (AIPD) fait partie intégrante du GDPR et, si elle n’est pas réalisée comme il se doit, elle peut rendre votre entreprise vulnérable à des atteintes à la vie privée, à la sécurité des données et aux droits de protection des données. [Sources : 3,0,9]

Cependant, la bonne conduite de ce processus est avantageuse en cas de litige sur la protection des données ou d’incident, tel qu’une violation des règles de protection des données. Sources : 7]

En évaluant les risques pour la vie privée, vous pouvez voir comment votre projet fonctionne. Réaliser une évaluation d’impact sur la protection des données au début d’un projet vous permet de connaître le flux d’informations au sein du projet dès le début. Bien que cela puisse sembler une formalité, cela peut aider à déterminer comment votre équipe traitera les informations personnelles lors de la création du logiciel. Une évaluation de l’impact sur la protection des données au début ou à proximité de votre projet vous permettra de parer à d’éventuels problèmes, car toute façon de partager des données entre projets les expose à un risque d’infraction. Sources : 8,15,2,12]

Cependant, il est également important de comprendre pourquoi les évaluations DPIA sont effectuées et quand une évaluation des risques d’atteinte à la vie privée est nécessaire ou non avant la collecte des données. Sources : 2]

Quand une évaluation des risques d’atteinte à la vie privée sera-t-elle effectuée ? Lorsqu’un changement important du risque lié aux données personnelles a été apporté à un projet ou un service majeur qui traite des données personnelles. Une organisation peut effectuer une EFDP avant de s’engager dans de nouvelles activités de traitement des données ou modifier les activités de traitement existantes lorsque de nouvelles technologies sont utilisées. Sources : 11,5]

L’AIPD évalue efficacement l’impact que les activités de traitement des données à haut risque pourraient avoir sur la personne concernée dans une sorte d’évaluation des risques. Sources : 1]

D’autres éléments qui peuvent être inclus dans cette étape d’évaluation de la protection des données sont la manière dont les données sont collectées, qui les collecte, comment elles sont collectées et stockées, et combien de temps elles sont conservées et utilisées. Il s’agit notamment du type de données à caractère personnel collectées ou prévues, de la quantité de données collectées (par exemple, le nombre de personnes, de pays et de pays), de la durée depuis la collecte et le traitement de ces données, de l’éventualité d’un transfert et/ou d’une vente de ces données, des attentes des personnes concernées et du contrôle qu’elles peuvent exercer sur l’utilisation de leurs données. D’autres facteurs tels que la probabilité que des données sensibles (par exemple des données concernant des enfants ou des personnes vulnérables) soient affectées. D’autres aspects de l’évaluation DPIA sont : l’étendue du risque de violation de la vie privée pour ceux qui collectent les données personnelles ; la mesure dans laquelle ils prévoient de les traiter ; si la divulgation ou la vente prendra généralement plus de temps que ce n’est le cas ; quelles sont leurs attentes en matière de confidentialité et de sécurité ; et les chiffres et les données sur le sujet associés à chacun de ces ensembles de données. Sources : 4,2,4,12]

Il se peut que l’AIPD doive être réalisée par un tiers (c’est-à-dire une entreprise) qui a décidé de la manière dont les informations sont traitées, qui les traite et comment elles sont traitées. Sources : 0]

N’oubliez pas qu’une AIPD doit être réalisée chaque fois que des informations personnelles sont traitées et lorsqu’elles sont considérées comme présentant un risque élevé. L’organisation devrait utiliser la DPIA pour minimiser le risque et décider si le potentiel de risque actuel est acceptable en fonction du résultat souhaité du traitement des données. Des évaluations d’impact sur la protection des données doivent également être réalisées si le traitement risque d’entraîner une perte de données, telle qu’une violation, une perte ou un vol de données. Sources : 12,6,4]

L’utilisation d’un bon modèle d’évaluation d’impact sur la protection des données peut faire une grande différence dans la durée d’une évaluation d’impact sur la protection des données. En résumé, le fait que vous deviez remplir vous-même la DPIA est un moyen utile de garantir que la protection des données est prise en compte dès le départ, sans mauvaise surprise. Le projet devrait être lancé au cours du premier trimestre de l’année prochaine, au moins trois mois après le début des travaux. Sources : 2,14]

Si vous devez utiliser un modèle d’évaluation des risques en matière de protection des données pour certaines activités de traitement ou de collecte de données, il convient de le faire le plus tôt possible après le début des activités de traitement des données. Si vous souhaitez utiliser un modèle d’évaluation d’impact sur la vie privée (DPIA) pour une activité particulière de collecte de données, faites-le avant le début du traitement des données. Utilisez les modèles d’évaluation des incidences sur les données pour identifier les problèmes potentiels, de sorte qu’une fois que vous commencerez à collecter des données individuelles, vous aurez tout le temps d’y remédier. Une fois que vous avez préparé la DPia pour le traitement des données, les risques sont évalués au stade où vous pouvez influencer le projet (Patchy Cover), où la protection des données peut être directement intégrée au projet de traitement des données, ce qui complète le Patchier Cover. Cependant, pour un projet comportant un grand nombre de collectes de données, vous devriez le faire avant de commencer le traitement des données, car cela nécessite un modèle d’évaluation des risques pour la vie privée pour toutes les activités de traitement et/ou de collecte de données. Sources : 17,2,2,2].

Sources:

  • 0] : https://legalvision.com.au/how-do-i-carry-out-a-data-protection-impact-assessment-under-the-gdpr/
  • 1] : https://www.itgovernance.co.uk/blog/gdpr-six-key-stages-of-the-data-protection-impact-assessment-dpia
  • 2] : https://www.airiodion.com/data-protection-impact-assessment/
  • [3] : https://stealthbits.com/blog/what-is-a-data-protection-impact-assessment/
  • [4] : https://www.itpro.co.uk/general-data-protection-regulation-gdpr/how-to-perform-a-data-protection-impact-assessment
  • [5] : https://dataprivacymanager.net/what-is-dpia-a-data-protection-impact-assesment/
  • [6] : https://gdpr-info.eu/issues/privacy-impact-assessment/
  • [7] : https://www.privacypolicies.com/blog/conducting-data-protection-impact-assessment/
  • [8] : https://lazarusalliance.com/benefits-of-a-dpia/
  • [9] : https://www.avocats-mathias.com/donnees-personnelles/dpia-analyse-impact
  • [10] : https://onderzoektips.ugent.be/en/tips/00001853/
  • [11] : https://www.gla.ac.uk/myglasgow/dpfoioffice/gdpr/dpia/
  • [12] : https://blog.bearer.sh/data-protection-impact-assessment-dpia/
  • [13] : https://gdprinformer.com/gdpr-articles/impact-assessments-guide
  • [14] : https://dpnetwork.org.uk/data-protection-by-design-data-protection-impact-assessments/
  • [15] : https://www.ecomply.io/blog-en/do-i-need-a-data-protection-impact-assessment-to-avoid-gdpr-fines
  • [16] : https://www.itgovernanceusa.com/gdpr-data-protection-impact-assessments-dpias
  • [17] : https://blog.satoricyber.com/effective-gdpr-dpia-on-cloud-data-warehouses