Quand l’AIPD est-elle requise en vertu du RGPD ?

Dans cet article, il faut examiner dans quelles circonstances l’évaluation des risques liés à la protection des données (DPIA) est requise et il faut donner quelques conseils pratiques à suivre pour réaliser cet important exercice de conformité. Il faudra expliquer comment déterminer quand vous devez effectuer un contrôle de la protection des données et comment le faire en détail. Fournissez des informations adéquates sur le projet à la personne concernée afin qu’elle puisse apporter une contribution valable. Expliquez le déroulement du processus, la raison de la consultation, sa durée, les résultats attendus et la manière dont ils seront utilisés. Sources : 23,22,19]

Si cela ne semble pas possible, consultez l’autorité compétente en matière de traitement des données (DPA) avant de tenter d’effectuer un traitement à haut risque sans restriction. Si votre entreprise doit se conformer au GDPR, vous devrez éventuellement procéder à une analyse d’impact sur la protection des données (DPIA). La DPia doit vérifier si une consultation préalable est requise avant le traitement. En pratique, les consultations préalables sont souvent demandées, mais il reste à savoir si le responsable du traitement peut informer l’autorité de contrôle s’il ne peut pas trouver de mesures d’atténuation en raison du risque élevé du traitement. Sources : 8,0,8,4]

Si votre organisation a déjà commencé à traiter de nouvelles données à caractère personnel (SCD) sans procéder à une AIPD, elle doit le faire si cette activité de traitement est susceptible de déclencher une exigence d’EFDP. Si l’on vous demande d’évaluer si un DPIA est requis ou non et de préparer un DPIPA. Si une organisation prévoit d’effectuer les traitements décrits afin de se conformer au GDPR, vous effectuerez un DPIA si vous l’avez déjà fait. Les organisations doivent également effectuer ces opérations si elles commencent déjà à traiter de nouvelles données à caractère personnel avant ou après l’une de ces activités de traitement, si ces opérations de traitement sont censées entraîner un traitement à haut risque ou si le traitement de ces données et une telle mesure entraînent une quantité importante de données, comme une violation du Règlement sur la protection des données (GDPR). Ils doivent établir un processus d’AIPD qui les aide à évaluer quand l’AIPD est nécessaire ou recommandée pour être efficace, à mettre en œuvre ses résultats et à agir en conséquence. Sources : 2,18,14,12]

Les entreprises doivent réaliser une analyse d’impact sur la protection des données au début d’un projet, en particulier au début du traitement. Lors du lancement de l’évaluation d’impact sur la protection des données, il est important de déterminer si vous disposez de suffisamment d’informations pour répondre à l’exigence de l’évaluation d’impact sur la protection des données, et si oui, comment. Sources : 11,3]

Confirmez que le DPIA n’est pas obligatoire pour les opérations de traitement, mais qu’il est nécessaire si le traitement doit entraîner une évaluation des incidences sur la vie privée (EIVP) d’au moins 5 % de la valeur totale des données. Par exemple, dans le cadre d’une transaction interentreprises (B2B), le DPIA peut ne pas être requis, bien qu’il le soit souvent dans certaines circonstances, notamment lorsque le traitement fait partie d’un processus commercial continu ou du traitement résultant d’autres processus commerciaux. Par exemple, si le traitement est le résultat d’un processus commercial parmi d’autres (par exemple, modèle commercial, développement de produits, marketing, etc.) ou s’il n’était pas du tout nécessaire au cours du traitement, ce qui conduit à une évaluation globale de l’impact sur la protection des données. Toutefois, aux fins de l’activité commerciale (c’est-à-dire les modèles commerciaux, les produits et les services), il peut être nécessaire dans certains cas, même s’il ne s’agit pas d’un traitement obligatoire. Sources : 21,5,5]

En résumé, le fait que vous deviez remplir vous-même l’évaluation des risques liés au traitement des données est un moyen utile de garantir que la protection des données est prise en compte dès le départ, sans mauvaise surprise. Dans les cas où il n’est pas clair si le DPia est obligatoire ou non, la mise en œuvre peut être un outil utile pour aider vos responsables du traitement des données à se conformer aux lois sur la protection des données. Le projet a été lancé en mai 2018 dans le cadre du règlement européen sur la protection des données (RGPD). [Sources : 15,9]

Il est important de se rappeler que dans le cadre de l’EFDP, vous n’êtes pas obligé d’éliminer tous les risques de traitement. Si vous trouvez un risque élevé qui ne peut être atténué, vous devez consulter l’ICO avant de commencer le processus. Toutefois, si les résultats de votre politique de confidentialité indiquent que le risque élevé ne peut être atténué, vous devez consulter l’ICO avant chaque traitement, conformément au GDPR. Pour déterminer le risque élevé que vous ne pouvez pas atténuer, consultez votre ICO avant de commencer le traitement et consultez-la à nouveau après le début du traitement. [Sources : 13,20,20,17]

Le GDPR impose que pour toute procédure à risque, un GDPR doit être réalisé le plus tôt possible. Si votre responsable du traitement n’est pas sûr qu’une DPIA soit nécessaire, la meilleure option est de minimiser votre charge légale sans avoir à la réaliser. Les responsables du traitement doivent déjà envisager les méthodes de mise en œuvre de la déclaration de protection des données et évaluer les activités de traitement existantes pour déterminer si un tel examen sera nécessaire. Sources : 20,1,7]

L’utilisation de questions préalables au début de l’évaluation est un excellent moyen d’évaluer d’emblée si le traitement peut entraîner un risque élevé pour la personne. Le GDPR ne définit pas « qu’il est probable qu’il y ait un risque élevé », et ce qu’il signifie est, à des fins d’enquête initiale, « si ce traitement de vos données est d’un type susceptible d’entraîner un risque élevé ? ». L [Sources : 6,20,10,16]

Sources:

• [0] : https://www.dentons.com/en/insights/alerts/2018/november/9/gdpr-update-november-2018-data-protection-impact-assessments
• [1] : https://www.dataguidance.com/opinion/eu-how-when-and-why-carrying-out-dpia
• [2] : https://globaldatahub.taylorwessing.com/article/dpias-under-the-gdpr
• [3] : https://www.ecomply.io/blog-en/do-i-need-a-data-protection-impact-assessment-to-avoid-gdpr-fines
• [4] : https://legalvision.com.au/how-do-i-carry-out-a-data-protection-impact-assessment-under-the-gdpr/
• [5] : https://www.schirrerwalster.lu/guidelines-on-data-protection-impact-assessment-for-the-purposes-of-gdpr-2/
• [6] : https://www.knowyourcompliance.com/guidance-on-data-protection-impact-assessments-dpia/
• [7] : https://www.avocats-mathias.com/donnees-personnelles/dpia-analyse-impact
• [8] : https://www.compliancejunction.com/high-high-risk-gdpr/
• [9] : https://dpnetwork.org.uk/data-protection-by-design-data-protection-impact-assessments/
• [10] : https://www.itgovernance.co.uk/blog/gdpr-six-key-stages-of-the-data-protection-impact-assessment-dpia
• [11] : https://www.itgovernance.eu/da-dk/gdpr-data-protection-privacy-impact-assessments-dk
• [12] : https://www.shlegal.com/insights/article-29-data-protection-working-party-gdpr-guidelines-on-data-protection-impact-assessments
• [13] : https://www.itpro.com/general-data-protection-regulation-gdpr/how-to-perform-a-data-protection-impact-assessment
• [14] : https://emlaw.co.uk/data-protection/data-protection-impact-assessment-dpia-do-you-need-one/
• [15] : https://www.nuigalway.ie/data-protection/staffandstudentresources/dataprotectionimpactassessments/
• [16] : https://www.lexology.com/library/detail.aspx?g=af38ce7e-9cde-4bdc-bb7b-3c3f11c3a9da
• [17] : https://about.gitlab.com/handbook/engineering/security/dpia-policy/
• [18] : https://www.whitecase.com/publications/alert/covid-19-and-data-protection-compliance
• [19] : https://www.capgemini.com/2018/04/dpia-under-gdpr-consult-your-data-subjects/
• [20] : https://www.keele.ac.uk/informationgovernance/fortheuniversity/dataprotection/privacybydesign/dataprotectionimpactassessments/
• [21] : https://www.rbcompliance.co.uk/post/2018/03/15/what-are-dpias-and-when-are-they-required-under-gdpr
• [22] : https://gdpr.eu/data-protection-impact-assessment-template/
• [23] : https://www.fieldfisher.com/en/services/privacy-security-and-information/privacy-security-and-information-law-blog/data-protection-impact-assessments-%E2%80%93-what-when-an