Qu’entend-on par DPIA ?

Smart Global Governance solution

Découvrez nos solutions sans obligation d’achat

ESSAI GRATUIT 15 JOURS

Lorsqu’il s’agit de s’assurer que votre entreprise est désormais conforme au règlement général sur la protection des données, vous devez comprendre quand une analyse d’impact sur la protection des données (AIPD) doit être réalisée. Que vous vous lanciez dans un projet d’envergure ou que vous apportiez des modifications à un projet existant qui utilise vos données personnelles, la réalisation d’une analyse d’impact sur la protection des données (AIPD) dans le cadre de votre collecte et de votre utilisation des données vous aidera à vous assurer que votre processus et vos résultats sont compatibles avec le règlement général sur la protection des données (RGPD). À quel moment devez-vous décider si l’entreprise s’y est conformée ou non ? [Sources : 6,15]

Lorsqu’une organisation mène de nouvelles activités de traitement des données ou modifie une activité de traitement existante, lorsqu’une nouvelle technologie est déployée, elle doit réaliser une EFDP. En outre, il peut y avoir des cas où les opérations de traitement changent de manière significative en raison de l’utilisation de nouvelles technologies ou de l’utilisation de données personnelles à d’autres fins. Toutefois, s’il n’y a pas eu d’évaluation préalable des facteurs relatifs à la vie privée (DPIA) auparavant, si celle-ci s’est avérée nécessaire ou si une technologie plus récente a été utilisée et a entraîné un changement ou un risque dans le processus de traitement, alors une DPIA est requise. [Sources : 5,7,3]

Lorsque le contexte organisationnel ou social des activités de traitement a changé ou que les effets de certaines décisions automatisées deviennent plus importants, une EFDP devient nécessaire. [Sources : 3]

Le RGPD ne change pas le paysage des lois réglementées en matière de protection des données, mais il constitue une avancée significative dans la protection des données personnelles. Dans l’ensemble, le message aux entreprises couvertes par le RGPD est qu’il est désormais encore plus critique de savoir où sont stockées les données sensibles, qui y accède et qui doit y accéder. Cela inclut non seulement la quantité de données personnelles traitées, mais aussi ce qui est fait pour les traiter et comment les entreprises les collectent et les gèrent. [Sources : 11,11,2]

Il s’agit notamment des données personnelles relatives aux condamnations pénales et aux infractions, ainsi que des informations personnelles telles que les noms, adresses, numéros de téléphone et adresses électroniques. Cette catégorie de données est protégée par le règlement sur la protection des données (RGPD) et la Convention européenne des droits de l’homme (CEDH). [Sources : 1,8]

Différentes méthodes, peuvent être utilisées sur la base du cadre DPIA existant. ISO / IEC 29134, qui fait également référence à la Convention européenne des droits de l’homme (CEDH) et au Règlement sur la protection des données (RGPD). [Sources : 8,3]

Le DPIA peut couvrir une seule opération de traitement des données, mais peut également être utilisé pour évaluer si plusieurs opérations de traitement sont similaires. Les lignes directrices du WP29 donnent l’exemple d’un matériel ou d’un logiciel capable d’utiliser différents contrôleurs de données pour effectuer différentes opérations de traitement. Il est également recommandé d’utiliser le DPIA lorsqu’une opération de traitement utilise une nouvelle technologie de traitement des données. Dans ce cas, la PA 29 indique que l’on peut obtenir un avis en fonction d’une étude générale de la finalité et des moyens des opérations de traitement. [Sources : 3,0,3,3]

En outre, une autorité de protection des données peut publier une liste des opérations de traitement qui ne nécessitent pas d’évaluation des risques avant traitement, comme l’utilisation de différents processeurs de données ou de différentes technologies de traitement [Sources : 14].

« Dans une économie axée sur les données, les données personnelles ont souvent plus de valeur que d’autres types de données, selon le type de données et le type d’informations qu’elles contiennent, et méritent donc une plus grande protection « , déclare le Dr Martin Schulz, PDG de Privacy International. Le RGPD suspend également les nouvelles restrictions sur l’utilisation des données des consommateurs par les entreprises, il doit donc y avoir un RGPD pour les traitements qui créent un risque de préjudice pour les enfants et autres personnes vulnérables comme les enfants. Les enfants peuvent être considérés comme vulnérables au traitement de leurs données privées car ils peuvent ne pas comprendre comment leurs données sont utilisées pour prévoir comment elles pourraient être affectées ou pour se protéger des conséquences indésirables. Cette catégorie de traitement est un vaste domaine qui peut inclure un large éventail de catégories de données personnelles présentant un risque élevé. [Sources : 13,12,9,15]

En outre, le RGPD garantit les droits des personnes concernées qui doivent déclarer qu’elles ont le contrôle des données collectées et traitées. La souveraineté des données régit l’endroit où les données doivent être stockées dans l’UE, aux États-Unis ou ailleurs. [Sources : 5,4]

Le RGPD précise le délai dont disposent les employeurs pour réaliser une analyse d’impact sur la protection des données en cas d’impact potentiel sur la confidentialité des données personnelles de leurs employés et/ou salariés. [Sources : 8,10]

Au-delà de la légalité, l’EFDP doit également prendre en compte la manière dont les initiatives de gestion des données soutiennent les droits des individus et des consommateurs. Pour évaluer la conformité au RGPD d’une organisation, la prochaine étape de l’EFDP devrait se concentrer sur les vulnérabilités potentielles du traitement des données, en particulier lors de la collecte d’informations sur les enfants et autres groupes vulnérables tels que définis par la loi. Cela devrait commencer par un processus pour aider à identifier, évaluer et gérer les risques associés au traitement des données, et des mesures devraient être prises pour s’assurer que les processeurs et les partenaires se conforment au RGPD. [Sources : 15,15,2,9]

Sources :

  • [0] :ttps://www.keele.ac.uk/informationgovernance/fortheuniversity/dataprotection/privacybydesign/dataprotectionimpactassessments/
  • [1] : https://stripe.com/guides/general-data-protection-regulation
  • [2] : https://www.itgovernance.eu/blog/en/how-much-does-gdpr-compliance-cost-in-2020
  • [3] : https://www.dataguidance.com/opinion/eu-how-when-and-why-carrying-out-dpia
  • [4] : https://www.egnyte.com/gdpr/resources
  • [5] : https://dataprivacymanager.net/what-is-dpia-a-data-protection-impact-assesment/
  • [6] : https://dma.org.uk/article/data-protection-impact-assessments-the-gdpr-the-lowdown
  • [7]: https://www.lexology.com/library/detail.aspx?g=b7e8d97f-dd45-48de-8796-c68c2e5bf0a9
  • [8] : http://blog.lukaszolejnik.com/analysis-of-working-party-29-dpia-guidelines/
  • [9] : https://www.i-scoop.eu/gdpr/dpia-data-protection-impact-assessments/
  • [10] : https://www.cms-lawnow.com/ealerts/2019/03/gdpr-bitesize-does-an-employer-need-to-carry-out-a-data-privacy-impact-assessment-in-the-context?cc_lang=fr
  • [11] : https://www.varonis.com/guides/what-is-gdpr/
  • [12] : https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/data-protection-impact-assessments-dpias/when-do-we-need-to-do-a-dpia/
  • [13] : https://iapp.org/news/a/what-is-and-what-isnt-subject-to-a-dpia-under-gdpr-an-update/
  • [14] : https://www.hldataprotection.com/2016/01/articles/health-privacy-hipaa/the-final-gdpr-text-and-what-it-will-mean-for-health-data/
  • [15] : https://www.aotmp.com/what-does-a-dpia-do/