Que signifie Dpia ?

Smart Global Governance solution

Découvrez nos solutions sans obligation d’achat

ESSAI GRATUIT 15 JOURS

Il faut compilé un glossaire qui explique certains des termes utilisés dans la protection des données conformément au GDPR. Le DPIA est un processus qui permet d’identifier et de minimiser les risques liés aux données et à la protection au sein d’un projet. Sources : 8,12]

Lorsqu’une organisation mène une nouvelle activité de traitement des données ou modifie des activités de traitement existantes, comme l’utilisation de nouvelles technologies, l’organisation peut mener une EFDP. S’il existe un processus ou une activité qui déclenche l’engagement d’effectuer une EFDP, le meilleur plan d’action est de l’effectuer. Par exemple, si vous avez besoin de centaines de GDPR qui n’ont rien à voir avec la remédiation GDPR (voir point 1), vous devriez envisager de clarifier les questions de triage afin de refléter plus précisément le risque potentiellement élevé dans le contexte de votre organisation. Cependant, lors de l’évaluation des demandes de DPia, certains des processus et activités qui ne sont pas élevés doivent être affinés – le risque pourrait être affiné s’ils sont identifiés comme étant requis par le DPIOI et s’il n’y a pas d’autres processus ou activités qui déclenchent la demande de DPIEI. Sources : 14,7,7,7,7]

L’un des moyens les plus importants pour une organisation de montrer aux autorités qu’elle se conforme au RGPD est de préparer un RGPD pour les activités de traitement des données à haut risque. Si les données de votre entreprise – le traitement des données est à haut risque et pourrait affecter la liberté des personnes, alors ils doivent remplir une DPIA. Vous devriez également réfléchir attentivement à ce que vous faites de votre politique de confidentialité pour d’autres traitements qui sont importants, impliquent un profilage et un suivi, déterminent l’accès à des services et à des opportunités, ou concernent des données sensibles ou des personnes vulnérables. Sources : 1,2,10]

Ceci est particulièrement important lorsque, comme c’est souvent le cas, on demande à des spécialistes de la protection de la vie privée (qui peuvent ne pas connaître le processus d’évaluation des facteurs relatifs à la vie privée ou ses avantages et ses limites) de répondre aux questions de triage de l’évaluation des facteurs relatifs à la vie privée. En faisant certaines choses avec une EFDP, vous pouvez faciliter la mise à niveau des employés et les avantages qu’un bon processus d’EFDP peut apporter. Sources : 7,0]

Si une analyse d’impact sur la protection des données est utilisée pour identifier les activités de traitement qui pourraient présenter un risque élevé pour les droits des personnes concernées, la conduite de cette enquête n’est pas un processus ponctuel que l’on peut réaliser et oublier. Il est important de comprendre où les données sont collectées, qui les collecte et les stocke, et ce qui est utilisé pour combler les écarts de conformité entre vos politiques de confidentialité et les droits personnels de vos employés. Sources : 14,11]

Le DPIA cherche à établir les activités de traitement des données qui pourraient présenter un risque d’atteinte aux droits et libertés des personnes concernées. Le traitement effectué par DPia convient à tout type de traitement, y compris certaines méthodes de traitement spécifiées, qui présentent un risque élevé pour les droits et libertés de la personne. La mise en œuvre d’un DPIPI doit concerner tous les types de traitement, y compris certains types de traitement, tels que la collecte de données, la conservation, le traitement et le stockage d’informations ou l’utilisation de certaines données dans un but particulier, susceptibles d’entraîner à l’avenir des risques élevés pour les droits ou libertés de la personne et la protection des droits de la personne. [Sources : 5,9,9]

Le GDPR indique que les autorités chargées de la protection des données effectuent des traitements de données individuelles qui comportent un risque élevé, mais il n’est pas défini comme  » probable  » ou  » à haut risque.  » Que signifie le GDPR et que signifie-t-il pour les droits et libertés des individus et pour la protection des libertés individuelles ? [Sources : 11,13]

La personne physique est utilisée pour distinguer les personnes réelles des personnes morales telles que les entreprises, et c’est le terme  » bit  » qui apparaît dans le GDPR. Une donnée personnelle est un moyen et une manière de se rapporter à des données relatives aux informations personnelles d’une personne (par exemple, des informations sur l’identité d’un individu). Une catégorie particulière de données est celle des données relatives aux données biométriques, lorsque ces dernières sont utilisées à des fins d’identification. Sources : 8,6,4]

Le traitement technologique innovant implique l’utilisation de technologies existantes, y compris l’intelligence artificielle, dans le traitement des données. L’art. 35 (1) GDPR diffère du type, de la portée, du contexte et de la finalité du traitement déjà effectué par le GDPR. Pour souligner à nouveau ce qui est vraiment important du point de vue du risque des données personnelles sous le GDPR : les directives GDPR fournissent également une liste de tous les traitements (avec de nombreux exemples concrets) qui lui sont imposés. Dans cet article, il faut résumé les 3 cas où le DPia est requis, en mettant en évidence le type de « traitement » requis dans la description. Sources : 12,3,15,15]

D’autre part, le WP29 a déjà rédigé des lignes directrices pour aider les entreprises à décider lesquels de leurs traitements peuvent être considérés comme étant à haut risque. Par exemple, l’ICO n’exige pas que le DPIA soit finalisé s’il est susceptible d’être à haut risque, mais il l’exige si le processus de traitement conduit à un risque accru de perte de données personnelles par l’utilisation de l’intelligence artificielle. Sources : 12,5]

Sources:

  • [0] : https://lighthouseig.com/2020/07/20/measuring-data-protection-impact-are-your-dpias-working/
  • 1] : https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/accountability-and-governance/data-protection-impact-assessments/
  • 2] : https://gdpr.eu/data-protection-impact-assessment-template/
  • [3] : https://www.emlaw.co.uk/data-protection/data-protection-impact-assessment-dpia-do-you-need-one/
  • [4] : https://www.ucl.ac.uk/srs/compliance/data-protection/key-terms-data-protection
  • [5] : https://www.thehouseofmarketing.be/blog/the-impact-of-gdpr-on-marketing-data-protection-impact-assessment
  • [6] : https://www.lynx.care/compliance-center/gdpr-eu
  • [8] : https://www.corderycompliance.com/eu-data-protection-glossary/
  • [9] : https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/data-protection-impact-assessments-dpias/what-is-a-dpia/
  • [10] : https://termly.io/resources/articles/gdpr-for-dummies/
  • [11] : https://thedefenceworks.com/blog/is-it-safe-to-ignore-the-gdpr-in-2020/
  • [12] : https://normcyber.com/advisory-notes/data-protection-impact-assessment/
  • [13] : https://www.itgovernance.co.uk/blog/gdpr-six-key-stages-of-the-data-protection-impact-assessment-dpia
  • [14] : https://dataprivacymanager.net/what-is-dpia-a-data-protection-impact-assesment/
  • [15] : https://www.i-scoop.eu/gdpr/dpia-data-protection-impact-assessments/