Quand une AIPD est-elle nécessaire ?

Smart Global Governance solution

Découvrez nos solutions sans obligation d’achat

ESSAI GRATUIT 15 JOURS

Une analyse d’impact sur la protection des données (DPIA) est un processus qui aide à identifier et à minimiser les risques liés à la protection des données pour un projet. Une analyse d’impact sur la protection des données (DPia) est un processus qui permet d’identifier, de minimiser et de contrôler les risques liés à la protection des données (GDPR). Une évaluation d’impact sur la protection des données, une DPIE, est l’une des étapes les plus importantes du processus d’évaluation de la protection des données. Sources : 5,8]

Le DPIA doit être réalisé au cours du processus de planification et de développement et doit commencer le plus tôt possible après le début du processus. Le DPIA ne devrait pas commencer avant que le processus d’évaluation de la protection des données n’ait débuté et que le traitement conformément aux directives n’ait commencé. Sources : 5,17]

Si le responsable du traitement n’est pas sûr qu’une EFDP soit nécessaire, la meilleure option est de minimiser la charge juridique que représente la réalisation d’un tel processus. Le GDPR rend obligatoire la conduite de ce processus risqué dès que possible et de le mener le plus tôt possible. [Sources : 2,15]

N’oubliez pas qu’une EFDP ne doit être réalisée que si des informations personnelles sont traitées et si elles sont considérées comme présentant un risque élevé. Le responsable du traitement doit procéder à un examen pour évaluer si le traitement est effectué correctement lorsque le risque posé par une opération de traitement change. Le responsable du traitement doit également procéder à un réexamen pour évaluer si le traitement a été effectué correctement et s’il peut l’être à l’avenir, en particulier si des changements interviennent dans les risques liés à une opération traitée, tels que des modifications de la sécurité, des lacunes en matière de sécurité ou des problèmes de sécurité. Le responsable du traitement doit également procéder à cet examen pour évaluer si le traitement doit être ordonné ou médiocre lorsque des changements ou des risques sont intervenus dans les opérations de traitement. Sources : 1,17,14]

Si votre entreprise doit se conformer au GDPR, vous devez procéder à une analyse d’impact sur la protection des données (DPIA) à ce stade. Si aucune DPia n’est nécessaire, une évaluation des risques doit être réalisée à un stade ultérieur du processus, par exemple au deuxième trimestre 2018. Sources : 6,7]

Une analyse d’impact sur la protection des données doit être réalisée si le traitement peut entraîner un risque élevé pour les droits et libertés des personnes et / ou de leurs familles. L’évaluation doit être effectuée lorsque ce type de traitement est susceptible d’entraîner un risque élevé pour les droits ou libertés des personnes, comme dans le cas de violations de données, de vol de données ou de manipulation de données. Sources : 10,12]

Il est important de comprendre quand une analyse d’impact sur la protection des données doit être réalisée et quand elle ne doit pas l’être. Le cas échéant, la soumission de l’analyse d’impact sur la protection des données utilisée pour certaines activités de traitement et de collecte de données doit être effectuée au moins 30 jours avant le début des activités de traitement des données et le plus tôt possible après leur début. Le modèle d’évaluation de l’impact sur les données peut être utilisé pour identifier les domaines problématiques potentiels afin qu’une fois que la collecte de données individuelles a commencé, il y ait suffisamment de temps pour y remédier. Toutefois, si le règlement sur la protection des données (GDPR) exige l’utilisation du modèle pour évaluer le risque de protection des données pour certaines activités de traitement et de collecte de données, cela ne devrait pas être fait avant la fin du premier mois après le début des activités de traitement des données. [Sources : 0,0,0,0]

Si votre entreprise est responsable du RGPD, vous devrez peut-être mettre en œuvre un RGPD avant de réaliser des projets de traitement des risques. DPia, qui doit être réalisée avant tout type de traitement comportant un risque élevé. Si votre entreprise est responsable du règlement européen sur la protection des données ou de la loi européenne sur la protection des données, il peut être nécessaire de réaliser sa propre analyse d’impact avant d’effectuer des activités de traitement ou de collecte de données considérées comme présentant un risque plus élevé, comme la collecte de données personnelles. Sources : 6,6,4]

Le DPIA doit être réalisé lors de l’examen de nouveaux systèmes, technologies ou processus, car ils peuvent entraîner un risque élevé pour les droits et libertés individuels. L’EFDP doit être mise à jour au fur et à mesure que le processus est développé et que les questions susceptibles d’affecter la protection des données personnelles, telles que la vie privée, la protection des données et la sécurité des données, sont identifiées. Toute modification matérielle des systèmes ou procédures existants nécessaires au traitement de vos données personnelles doit être effectuée au moins à l’étape 1 de cette procédure afin de déterminer si une EFDP complète est nécessaire. Sources : 16,3,9]

Lorsque les données personnelles ou individuelles présentent un risque élevé, une analyse d’impact des données doit être réalisée afin de s’assurer que des mesures appropriées sont prises pour éviter que les données ne soient accidentellement ou en cas de violation des données. S’il n’est pas clair si une DPIA est nécessaire, le WP29 recommande qu’elle soit mise en œuvre en tant qu’instrument général de protection des données. S’il apparaît que le traitement pourrait entraîner un risque élevé pour les droits des personnes, une organisation doit réaliser une analyse d’impact sur la protection des données (AIPD) dans les meilleurs délais. Sources : 0,11,15]

Sources:

  • 0] : https://www.airiodion.com/data-protection-impact-assessment/
  • 1] : https://blog.bearer.sh/data-protection-impact-assessment-dpia/
  • 2] : https://www.keele.ac.uk/informationgovernance/fortheuniversity/dataprotection/privacybydesign/dataprotectionimpactassessments/
  • [3] : https://www.utwente.nl/en/bms/datalab/research-data-and-gdpr/dpia/
  • [4] : https://www.alchemetrics-uk.com/do-you-need-to-carry-out-a-dpia-data-protection-impact-assessment/
  • [5] : https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/accountability-and-governance/data-protection-impact-assessments/
  • [6] : https://legalvision.com.au/how-do-i-carry-out-a-data-protection-impact-assessment-under-the-gdpr/
  • [7] : https://www.tcd.ie/info_compliance/data-protection/dpias/
  • [8] : https://lazarusalliance.com/benefits-of-a-dpia/
  • [9] : https://dpnetwork.org.uk/data-protection-by-design-data-protection-impact-assessments/
  • [10] : https://stealthbits.com/blog/what-is-a-data-protection-impact-assessment/
  • [11] : https://privaon.com/publications-news/blogs/data-protection-impact-assessment-dpia/
  • [12] : https://gdpr-info.eu/issues/privacy-impact-assessment/
  • [13] : http://www.dataprotection.ie/en/organisations/know-your-obligations/data-protection-impact-assessments
  • [14] : https://lawandtech.eu/2017/12/29/dpias/
  • [15] : https://www.dataguidance.com/opinion/eu-how-when-and-why-carrying-out-dpia
  • [16] : https://www.ucc.ie/en/gdpr/policyandprocedures/dataprotectionimpactassessmentprocedure/
  • [17] : https://medium.com/golden-data/what-is-a-data-protection-impact-assessment-dpia-under-eu-law-644e46ce9b62