Quand les DPIA sont-elles nécessaires ?

Décider du moment où il faut réaliser une analyse d’impact sur la protection des données (AIPD) et comprendre comment le faire est un domaine difficile. Dans ce qui suit, j’expliquerai comment déterminer quand il faut réaliser une EFDP et comment la réaliser efficacement. Des questions de dépistage sont posées pour vous aider à déterminer si une EFDP est nécessaire et quand elle doit l’être dans le contexte de la loi sur la protection des données et de sa mise en œuvre. [Sources : 8,12,7]

Cependant, il est également important de comprendre pourquoi une évaluation des risques liés à la vie privée est effectuée et quand une telle évaluation n’est pas nécessaire avant la collecte des données. Il est important de comprendre quand il faut effectuer des analyses d’impact sur la protection des données et pourquoi il n’est pas obligés de le faire. Une analyse d’impact sur la protection des données ne doit être réalisée que si le traitement peut entraîner un risque élevé de violation de la loi sur la protection des données ou une menace grave pour la confidentialité des données. Ces risques doivent être réexaminés à intervalles réguliers afin de déterminer si le traitement effectué jusqu’à un certain point avant la mise en place de la plateforme est susceptible d’avoir entraîné des risques élevés et de prendre en compte les risques qui n’existaient pas auparavant. [Sources : 13,13,11,10]

Si le projet est appelé à changer ou à s’étendre au cours de sa durée de vie, il peut être nécessaire d’évaluer si une autre DPIA est requise avant d’évaluer les risques identifiés en matière de protection des données. Il faut discuter de la différence entre une évaluation DPIA et une évaluation des risques pour la vie privée pour un projet dans le contexte de la ville intelligente. [Sources : 17,18]

L’objectif d’une DPIA est de déterminer si les droits identifiés des personnes concernées sont suffisamment pris en compte par les mesures correctives. Il est important de souligner qu’elle est nécessaire pour les scénarios à haut risque. La difficulté de déterminer les risques élevés est que le RGPD ne fournit pas une définition claire du moment où une EFDP est nécessaire. Pour déterminer quand une DPIA est nécessaire, il est important d’avoir une bonne compréhension de ce qui est considéré comme un « risque élevé. » [Sources : 3,6,14]

Une EFDP est nécessaire si les données traitées sont susceptibles d’entraîner une violation des droits de la personne concernée en vertu de la loi sur la protection des données, comme la protection de sa vie privée. Le RGPD lui-même fournit une définition claire du « risque élevé » et d’un scénario de risque élevé, mais il sert actuellement d’occasion aux autorités nationales de fixer leurs propres exigences pour les activités de traitement requises par le RGPD. Une autorité de surveillance nationale (AS) doit déterminer et décider si une activité de traitement nécessite une analyse d’impact sur la protection des données. Les déclarations de protection des données sont nécessaires dans l’UE lorsque le traitement entraînera certainement des effets sur les droits personnels et / ou la sécurité des données d’un nombre important de personnes concernées. En d’autres termes, une DPIPA n’est pas nécessaire pour le traitement de toutes les données s’il est peu probable qu’il entraîne un risque important pour la vie privée de l’une des personnes concernées. [Sources : 2,15,1,4]

Si l’activité de traitement est susceptible d’entraîner un risque élevé pour les droits d’une personne, l’organisation doit procéder à une analyse d’impact sur la protection des données (AIPD). Cela signifie que, même si le risque réel n’est pas évalué, un examen est effectué pour détecter les facteurs indiquant la possibilité d’effets généralisés ou graves sur les personnes. Bien que la publication d’une DPIA ne soit pas obligatoire en vertu de la législation européenne sur la protection des données, les organisations devraient considérer les avantages de cette publication. [Sources : 5,18,9]

Si vous devez utiliser un modèle d’évaluation des risques en matière de protection des données pour certaines activités de traitement ou de collecte de données, faites-le dès que possible après avoir lancé le projet et commencé le traitement des données. Si vous demandez à l’utiliser avant de commencer à collecter des données individuelles, vous pouvez le faire deux mois avant le début de la collecte, et si nécessaire, vous pouvez le faire jusqu’à six mois après le premier jour de la collecte des données. En résumé, le fait que vous deviez remplir vous-même une EFDP est un moyen utile de vous assurer que vous tenez compte de la vie privée dès le départ, sans mauvaise surprise. Utilisez des modèles d’évaluation de l’impact sur les données pour identifier les problèmes potentiels, de sorte qu’une fois que vous aurez commencé à collecter les données des individus, vous aurez suffisamment de temps pour y remédier. [Sources : 8,13,13,13].

Les organisations qui cherchent des conseils sur le RGPD chercheront souvent des modèles d’analyse d’impact sur la protection des données pour leurs activités de traitement des données. Vous pouvez les utiliser pour effectuer les évaluations d’impact sur la vie privée nécessaires pour certaines activités de collecte de données, et l’utilisation d’un bon modèle de DPIA peut faire une grande différence dans le temps que prennent vos évaluations d’impact sur la vie privée. [Sources : 13,13]

Les organisations qui ne disposent pas d’une procédure standard pour ces évaluations peuvent avoir des difficultés à savoir exactement quand évaluer les risques liés aux données. Lorsque les entreprises font appel à une partie externe pour réaliser une évaluation d’impact sur la protection des données, le défi pour elles est que le client peut ne pas vouloir le faire, indépendamment de ce que cela représente ou des conséquences possibles. [Sources : 16,0]

Sources:

• [0] : https://www.csoonline.com/article/3445424/when-and-how-to-write-a-gdpr-dpia.html
• [1] : https://www.shlegal.com/insights/article-29-data-protection-working-party-gdpr-guidelines-on-data-protection-impact-assessments
• [2] : https://www.gdprregister.eu/gdpr/data-protection-impact-assessment-guide/
• [3] : https://www.lexology.com/library/detail.aspx?g=af38ce7e-9cde-4bdc-bb7b-3c3f11c3a9da
• [4] : https://www.partnervine.com/blog/what-is-a-dpia
• [5] : https://about.gitlab.com/handbook/engineering/security/dpia-policy/
• [6] : https://blog.focal-point.com/when-is-a-dpia-required-under-the-gdpr
• [7] : https://hirett.co.uk/gdpr-data-protection-impact-assessment-dpia-template-assessment-requirements-and-stages-evaluate-privacy-solutions-template-for-fca-applications-and-authorised-firms
• [8] : https://dpnetwork.org.uk/data-protection-by-design-data-protection-impact-assessments/
• [9] : https://medium.com/golden-data/what-is-a-data-protection-impact-assessment-dpia-under-eu-law-644e46ce9b62
• [10]: https://www.tandfonline.com/doi/full/10.1080/13600834.2020.1790092
• [11] : https://gdpr-info.eu/issues/privacy-impact-assessment/
• [12] : https://gdpr.eu/data-protection-impact-assessment-template/
• [13] : https://www.airiodion.com/data-protection-impact-assessment/
• [14] : https://blog.rsisecurity.com/how-do-you-perform-a-dpia/
• [15] : https://legalict.com/2019/04/10/when-is-a-dpia-mandatory-according-to-the-belgian-data-protection-authority/
• [16] : https://www.ecomply.io/blog-en/do-i-need-a-data-protection-impact-assessment-to-avoid-gdpr-fines
• [17] : http://www.dataprotection.ie/en/organisations/know-your-obligations/data-protection-impact-assessments
• [18] : https://privaon.com/publications-news/blogs/data-protection-impact-assessment-dpia/