Quand une analyse d’impact sur la protection des données est-elle nécessaire ?

Smart Global Governance solution

Découvrez nos solutions sans obligation d’achat

ESSAI GRATUIT 15 JOURS

Il est important de comprendre quand il faut réaliser une analyse d’impact sur la protection des données et quand il ne faut pas la demander. Lorsqu’il s’agit de la sécurité des données et de la conformité au GDPR, il est toujours sage de prendre le parti de la prudence, en particulier dans le cas de la protection des données et de la vie privée (GDPR). Si nécessaire, le modèle doit être utilisé pour évaluer le risque de protection des données pour certaines activités de traitement ou de collecte de données dès qu’elles commencent. Toutefois, si vous devez l’utiliser avant de commencer le traitement, faites-le dès que possible après le début du traitement. [Sources : 18,16,16,16]

Idéalement, vous voudriez utiliser le modèle d’analyse d’impact pour ajouter les informations requises pour l’inclusion dans le GDPR dans ce domaine. Sources : 16]

S’il n’est pas clair si une EFDP est nécessaire, le WP29 recommande qu’elle soit mise en œuvre en tant qu’instrument général de protection des données. Dans la plupart des cas, l’EFDP n’est pas requise par le GDPR, mais vous pouvez vouloir la compléter. [Sources : 1,4]

Les organisations sont tenues d’effectuer une EFDP si leur traitement des données présente un risque élevé pour les droits et libertés des personnes. Si vous avez identifié un « processus à haut risque » comme étant la raison d’une EFDP, vous devez en informer l’ICO afin que vous puissiez prendre des mesures pour atténuer le risque. Les entreprises doivent consulter les autorités locales de protection des données lorsque des risques élevés pour les données personnelles ont été identifiés. Des évaluations d’impact sur la protection des données doivent également être réalisées lorsque le traitement pourrait avoir entraîné la perte d’informations personnelles telles que les noms, adresses, dates de naissance, numéros de téléphone, adresses électroniques et numéros de sécurité sociale. Sources : 10,0,13,3]

Les évaluations d’impact sur la protection des données (DPIA), parfois appelées PIA (Privacy Impact Assessment), sont une exigence obligatoire en vertu de l’article 35 du GDPR. Cependant, il est également important de comprendre pourquoi une évaluation DPia est effectuée et quand une évaluation des risques pour la vie privée n’est pas nécessaire avant la collecte des données. Quand une évaluation d’impact sur la protection des données (Pia) est-elle requise pour la protection des données personnelles en vertu du règlement sur la protection des données (GDPR) ? Sources : 16,12,2]

La mise en œuvre d’une DPIA est un processus, un système ou un projet qui est pertinent pour la protection des données personnelles conformément à l’article 35 du règlement sur la protection des données (GDPR). L’autorité de surveillance nationale (AS) est tenue de déterminer et de décider si les activités de traitement d’un DPIA sont requises ou non. Si le traitement des données est susceptible de donner lieu à une évaluation des risques pour la vie privée, comme le prévoit le GDPR lui-même, elle est alors obligatoire. La mise en œuvre de ces mesures est une étape importante dans le processus de protection des données, que ce soit pour les processus, les systèmes ou les projets. [Sources : 8,0,7]

L’art. 35 impose à une organisation de réaliser une DPIA si les activités de traitement sont susceptibles d’entraîner une évaluation des risques pour la vie privée ou une évaluation d’impact sur les données personnelles des personnes. La mise en œuvre de la déclaration de protection des données est obligatoire dans les cas où le traitement des données à caractère personnel n’est pas susceptible d’avoir un impact sur la vie privée des personnes, comme dans le cas d’une faille de sécurité. Lorsque les données personnelles ou les données des individus présentent un risque élevé, l’analyse d’impact doit être réalisée afin de s’assurer que des mesures appropriées sont prises pour éviter que les données ne soient accidentellement ou en cas de violation des données. Cela peut sembler une formalité, mais cela peut aider à définir la manière dont l’équipe traitera les informations personnelles lors de la construction du logiciel. Sources : 15,5,16,1]

Les organisations qui recherchent des conseils sur le GDPR chercheront souvent des informations sur le GDPR et ses exigences. Elles peuvent s’en servir pour réaliser les évaluations d’impact sur la protection des données nécessaires pour leurs propres activités de traitement des données. Sources : 16]

L’EFDP est un outil utile pour aider les inspecteurs à remplir les obligations du document, même lorsqu’elle n’est pas nécessaire. Dans les cas où il n’est pas clair si la politique de confidentialité est obligatoire, la mise en œuvre d’une politique de confidentialité peut être un autre outil utile pour aider les contrôleurs de données à se conformer aux lois sur la protection des données. Si un responsable du traitement n’est pas sûr de la nécessité d’une évaluation préliminaire des risques liés aux données, la meilleure option pour minimiser la charge juridique est de la réaliser. Même dans les cas où il n’est pas clair que le GDPR est strictement prescrit ou non, les dispositions relatives à la protection des données peuvent être des outils utiles pour aider les contrôleurs de données à se conformer au GDPR. [Sources : 4,8,17,17]

Comment déterminer quand vous devez réaliser une DPIA et si une évaluation d’impact sur la protection des données suivra et comment elle sera réalisée. Il faut aborder deux types différents d’analyses d’impact sur la protection des données, l’analyse d’impact sur la protection des données et l’analyse d’impact sur la protection des données. Sources : 15,9]

L’évaluation d’impact sur la protection des données (DPIA) est requise lorsque le traitement comporte un risque élevé et qu’il est soumis à une évaluation d’impact sur la protection des données qui protégera vos données, comme la sécurité des données, la confidentialité, la sécurité des données ou l’intégrité des données. Le GDPR exige qu’un audit de protection des données soit réalisé le plus rapidement possible dans le cas de processus à risque. Si vous considérez que votre procédure est considérée comme risquée et qu’elle est « susceptible » d’entraîner des risques élevés, vous devez tenir compte des directives européennes pertinentes. Le traitement des données doit commencer dès que possible. Sources : 2,6,14,11]

Sources:

  • [0] : https://www.qmsuk.com/news/what-is-a-data-protection-impact-assessment
  • 1] : https://blog.bearer.sh/data-protection-impact-assessment-dpia/
  • [2] : https://www.itpro.com/general-data-protection-regulation-gdpr/how-to-perform-a-data-protection-impact-assessment
  • [3] : https://gdpr-info.eu/issues/privacy-impact-assessment/
  • [4] : https://www.dataguidance.com/opinion/eu-how-when-and-why-carrying-out-dpia
  • [5] : https://www.utwente.nl/en/bms/datalab/research-data-and-gdpr/dpia/
  • [6] : https://www.keele.ac.uk/informationgovernance/fortheuniversity/dataprotection/privacybydesign/dataprotectionimpactassessments/
  • [7] : https://legalict.com/2019/04/10/when-is-a-dpia-mandatory-according-to-the-belgian-data-protection-authority/
  • [8] : https://dataethics.eu/how-ethics-and-the-dpia-can-go-together/
  • [9] : https://gdpr.eu/data-protection-impact-assessment-template/
  • [10] : https://blog.netwrix.com/2021/02/17/data-protection-impact-assessment/
  • [11] : https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/accountability-and-governance/data-protection-impact-assessments/
  • [12] : http://blog.lukaszolejnik.com/analysis-of-working-party-29-dpia-guidelines/
  • [13] : https://www.gdprregister.eu/gdpr/data-protection-impact-assessment-guide/
  • [14] : https://actnowtraining.wordpress.com/2020/08/27/the-importance-of-a-dpia/
  • [15] : https://privaon.com/publications-news/blogs/data-protection-impact-assessment-dpia/
  • [16] : https://www.airiodion.com/data-protection-impact-assessment/
  • [17] : https://www.nuigalway.ie/data-protection/staffandstudentresources/dataprotectionimpactassessments/
  • 18] : https://www.privacypolicies.com/blog/conducting-data-protection-impact-assessment/