Que signifie Dpia ?

L’acronyme DPIA signifie Data Protection Impact Assessment (évaluation d’impact sur la protection des données) et est utilisé lorsqu’une organisation en est aux premiers stades de la planification de quelque chose qu’elle veut faire, mais qu’elle a besoin d’une analyse plus approfondie et de conseils avant d’inviter des régulateurs, des professionnels ou des autorités de réglementation. En termes simples, il s’agit d’une analyse détaillée qui est effectuée avant que l’organisation ne commence à traiter des données à caractère personnel, ce qui est susceptible de présenter un risque élevé pour les droits et libertés dans ce domaine. Cela est particulièrement important lorsque, comme c’est souvent le cas, on demande à un spécialiste de la protection des données, qui n’est peut-être pas au courant de l’ensemble des questions relatives à la vie privée et à la protection des données, de répondre à une question de triage de DPIA. [Sources : 6,6,9,3]

Il est essentiel que les organisations prennent le temps d’expliquer leur évaluation afin que les régulateurs puissent comprendre leur raisonnement, mais les détails fournis sont souvent inadéquats et si vous ne comprenez pas ce qui est demandé, cela peut créer une confusion. L’ICO recommande également que les raisons pour lesquelles une DPIA doit être effectuée soient documentées afin d’avoir une trace si elle est contestée à l’avenir. Le formulaire « DPIA » fonctionne comme un champ de texte ouvert pour des réponses standard. [Sources : 3,1,4]

Si des centaines de DPIA sont nécessaires, même s’ils ne sont pas liés à la remédiation RGPD, vous devez envisager de clarifier la question du triage afin de refléter plus précisément le risque potentiellement élevé dans le contexte de votre organisation. Si différentes activités au sein de votre organisation sont susceptibles de conduire à des DPIA fréquents, il peut être approprié pour l’organisation de mettre en œuvre un processus DPIA sur mesure pour répondre à ses besoins spécifiques. [Sources : 3,5]

Si, après examen de la demande de DPIA, des opérations de traitement répondant à au moins deux critères sont identifiées comme devant faire l’objet d’un DPIA, la question du triage doit être clarifiée. Si le responsable du traitement considère que les activités de traitement qui ne présentent pas un risque élevé ne sont pas susceptibles de présenter un risque élevé, il doit documenter la raison de la non-application des accords de protection des données. Le fait qu’une EPDPI doive être mise à jour une fois que le traitement a effectivement commencé n’est pas une raison pour reporter ou ne pas effectuer une EPDPI, mais plutôt une indication de la nécessité d’un examen supplémentaire. [Sources : 3,12,12]

Les analyses d’impact sur la protection des données peuvent être utilisées pour identifier et atténuer les risques liés à la protection des données – risques qui peuvent découler de nouveaux projets et affecter l’organisation ou les personnes avec lesquelles elle travaille. Si une analyse d’impact sur la protection des données est utilisée pour identifier les activités de traitement qui pourraient présenter un risque élevé pour les droits des personnes concernées, la mise en œuvre de ce processus est un processus ponctuel qui peut être réalisé ou oublié. Une organisation peut souhaiter tenir un registre des risques liés à la vie privée afin de décrire les risques associés au projet et d’évaluer sa probabilité d’impact. [Sources : 13,7,12,12]

Dans certains cas, le fait de répondre à certains critères ne signifie pas nécessairement qu’une EFDP est nécessaire. Si une organisation effectue une activité de traitement qui présente un risque élevé pour les intérêts d’une personne, elle doit réaliser une EFDP. L’ICO détermine elle-même les types d’activités de traitement qui nécessitent une EFDP, ainsi que la nature et l’ampleur du risque. Une fois que l’organisation a réalisé une DPIA et a établi qu’il existe un risque plus élevé qui ne peut être atténué, elle doit consulter l’ICO avant de poursuivre. [Sources : 5,5,2]

Les directives précisent également neuf critères identifiés par le groupe de travail Article 29 pour déterminer si un traitement nécessite un RGPD, même si le traitement n’est pas conforme à l’un des trois exemples du RGPD. Par exemple, si Liechtenstein SA prévoit une description complète, c’est-à-dire à grande échelle, la direction recommande de modifier la description pour clarifier les critères. L’ICO vous demande de souscrire un DPIA s’il est probable que le risque soit élevé. L’ICO exige également que vous remplissiez le DPIA si vous ne le faites pas conformément aux directives de l’ICO pour le traitement des transactions, comme dans le cas d’une transaction financière. [Sources : 8,0,10]

Sources :

• [0] : https://www.huntonprivacyblog.com/2018/11/09/cnil-publishes-dpia-guidelines-list-processing-operations-subject-dpia/
• [1] : https://www.lexology.com/library/detail.aspx?g=af38ce7e-9cde-4bdc-bb7b-3c3f11c3a9da
• [2] : https://blog.satoricyber.com/effective-gdpr-dpia-on-cloud-data-warehouses
• [3] : https://www.hldataprotection.com/2018/11/articles/international-eu-privacy/dp-impact-assessments-edpb-differs-slightly-from-ico-position/
• [4] : https://www.csoonline.com/article/3445424/when-and-how-to-write-a-gdpr-dpia.html
• [5] : https://mbmcommercial.co.uk/Latest-Blogs/Blogs/Data-protection-impact-assessments-what-when-and-why.html
• [6] : https://blogi.xcure.fi/what-is-a-dpia
• [7] : https://dataprivacymanager.net/what-is-dpia-a-data-protection-impact-assesment/
• [8] : https://normcyber.com/advisory-notes/data-protection-impact-assessment/
• [9] : https://www.i-scoop.eu/gdpr/dpia-data-protection-impact-assessments/
• [10] : https://iapp.org/news/a/what-is-and-what-isnt-subject-to-a-dpia-under-gdpr-an-update/
• [11] : https://www.termsfeed.com/blog/gdpr-data-protection-impact-assessment/
• [12] : http://www.dataprotection.ie/en/organisations/know-your-obligations/data-protection-impact-assessments [13] : https://gdpr.eu/data-protection-impact-assessment-template/