Qu'est-ce que le DPIA dans le GDPR ?

Découvrez nos solutions sans obligation d’achat

Dans cet article d’AGS Inspection, il faut parler de tout ce que vous devez savoir pour réaliser une évaluation d’impact sur la protection des données, ou DPIA comme on l’appelle dans le GDPR. L’analyse d’impact sur la protection des données (DPia) est un processus qui permet d’identifier et de minimiser les risques liés à la protection des données dans un projet. Elle fait partie du processus qui a été créé pour analyser, identifier et minimiser les projets liés à la protection des données et à la sécurité des données en général. Sources : 18,2,17]

Le DPIA est un processus qui permet d’identifier et de minimiser les risques liés à la protection des données dans un projet. Le DPIPA (Data Protection Impact Assessment) est une procédure qui aide à identifier et à minimiser les risques liés à la protection des données (GDPR) et les projets de sécurité des données dans le GDPR. Elle fait partie des processus qui ont été créés pour analyser, identifier et minimiser les projets de protection des données en général. Le DPI (DPia), un processus d’identification et de minimisation des projets de protection des données et de sécurité des données, est un autre processus qui aide à identifier et à maximiser ou minimiser les risques et les projets liés à la protection des données. Sources : 0,3,3]

Le DPIA est un processus qui aide à identifier et à minimiser les risques liés à la protection des données dans un projet. L’objectif principal du DPIPA (Data Protection Impact Assessment) est d’identifier et de minimiser les risques liés à la protection des données du projet, et en particulier d’évaluer si les solutions de protection des données utilisées ont l’effet escompté de réduire les risques liés à la protection des données. Elle est en mesure d’identifier les risques de protection des données qui peuvent découler des projets et de déterminer les moyens qui pourraient être utilisés pour atténuer ces risques, tels que l’utilisation de systèmes de gestion des données, de mesures de sécurité des données ou d’autres mesures. Sources : 0,5,5,5]

Cependant, il est également important de comprendre pourquoi l’évaluation DPIA est effectuée et quand une évaluation des risques d’atteinte à la vie privée n’est pas nécessaire avant la collecte des données. Il faut expliquer ci-dessous comment vous pouvez déterminer quand vous devez effectuer une vérification de la confidentialité et comment vous pouvez la suivre en détail. Vous apprendrez également ce qui est nécessaire pour effectuer une « évaluation de l’impact du traitement des données » sur la protection des données. Il faut décidé que cela nécessite la participation du contrôleur de la protection des données et du directeur général de la protection des données et des droits des citoyens. Sources : 18,1,18]

L’évaluation d’impact sur la protection des données (DPIA) consiste à déterminer si le traitement des données à caractère personnel a des conséquences sur la vie privée et quels facteurs de risque peuvent apparaître. Elle déterminera s’il existe un risque élevé de traitement tel que défini dans le règlement 2016 / 679. [Sources : 16,6]

En termes simples, le DPIA est utilisé lorsqu’une organisation sait qu’elle planifie et a besoin d’une analyse plus approfondie ou de conseils, par exemple en invitant un régulateur ou un superviseur professionnel. Les organisations qui recherchent des conseils sur le GDPR le font souvent et peuvent l’utiliser pour réaliser l’évaluation d’impact sur la protection des données nécessaire. Vous pouvez poser des questions telles que : Qui utilise les données personnelles, à quoi servent-elles et quels sont les objectifs du projet. Sources : 15,18,14]

L’analyse d’impact sur la protection des données (DPIA) est le processus d’évaluation et de documentation de toutes les activités de traitement des données pertinentes pour répondre à ces questions. Le DPIA est une procédure qui décrit et évalue le traitement et la gestion des données personnelles des personnes évaluées et permet de vérifier la nécessité et la proportionnalité des données collectées dans le cadre du projet et d’identifier les mesures pour les combattre. Il comprend plusieurs phases au cours desquelles le traitement est décrit et évalué, le nécessaire est déterminé, les risques sont identifiés et les garanties et mécanismes pour atténuer ces risques sont définis et développés. À chaque étape, on examine la conception du projet, les problèmes de protection des données qui en découlent, les personnes auxquelles il peut être exposé et la protection des données, autant d’éléments qui peuvent présenter des risques pour l’organisation. Sources : 10,7,19,5]

Le résultat de l’EFDP doit inclure les mesures et les sauvegardes et mécanismes prévus pour atténuer les risques identifiés, assurer la protection des données personnelles et démontrer la conformité au GDPR. Pour évaluer les risques liés à la protection des données, le fonctionnement du projet et les mesures pour faire face à ces risques sont définis. Il contient également des mesures visant à garantir la protection des données et à démontrer la conformité avec le GDPR, en tenant compte des droits des autres personnes concernées, tels que le droit à la vie privée et le libre accès aux données. [Sources : 13,4,8]

Afin d’évaluer si une solution particulière de protection des données doit être poursuivie, il est nécessaire de peser les coûts et les avantages de chaque solution. Diverses méthodes peuvent être utilisées pour créer une EFDP basée sur le cadre EFDP existant, telles que l’évaluation des risques, l’analyse coûts-avantages ou l’évaluation des avantages potentiels. Sources : 11,5]

Si une nouvelle technologie est utilisée pour le traitement des données à grande échelle, vous devrez réaliser une évaluation des incidences sur la vie privée. Ici, les données sont collectées, traitées, stockées et détruites. Par conséquent, utilisez vos informations existantes de l’audit d’information pour compléter cette partie de l’évaluation. Enregistrer et conserver toutes les données, telles que la date de la collecte, le lieu, le type et le mode de stockage des données, pendant une durée maximale de 6 ans à compter de la date de mise en œuvre du projet. Sources : 9,12,12]

Sources :

[0] : https://about.gitlab.com/handbook/engineering/security/dpia-policy/
1] : https://gdpr.eu/data-protection-impact-assessment-template/
2] : https://www.ucc.ie/en/gdpr/policyandprocedures/dataprotectionimpactassessmentprocedure/
[3] : https://www.keele.ac.uk/informationgovernance/fortheuniversity/dataprotection/privacybydesign/dataprotectionimpactassessments/
[4] : https://seersco.com/articles/articles/data-protection-impact-assessment-dpia/
[5] : http://www.dataprotection.ie/en/organisations/know-your-obligations/data-protection-impact-assessments
[6] : https://business.gov.nl/regulation/data-protection-impact-assesment-dpia/
[7] : https://www.jdsupra.com/legalnews/gdpr-update-november-2018-data-71311/
[8] : https://lazarusalliance.com/benefits-of-a-dpia/
[9] : https://www.ecomply.io/blog-en/do-i-need-a-data-protection-impact-assessment-to-avoid-gdpr-fines
[10] : https://www.freeprivacypolicy.com/blog/gdpr-data-protection-impact-assessment/
[11] : https://www.dataguidance.com/opinion/eu-how-when-and-why-carrying-out-dpia
[12] : https://hirett.co.uk/gdpr-data-protection-impact-assessment-dpia-template-assessment-requirements-and-stages-evaluate-privacy-solutions-template-for-fca-applications-and-authorised-firms
[13] : https://globaldatahub.taylorwessing.com/article/dpias-under-the-gdpr
[14] : https://dpnetwork.org.uk/data-protection-by-design-data-protection-impact-assessments/
[15] : https://www.i-scoop.eu/gdpr/dpia-data-protection-impact-assessments/
[16] : https://www.corporatecomplianceinsights.com/pias-gdpr-dpias-best-practice-guide/
[17] : https://piwik.pro/blog/dpia-for-google-analytics/
[18] : https://www.airiodion.com/data-protection-impact-assessment/
[19] : https://www.knowyourcompliance.com/guidance-on-data-protection-impact-assessments-dpia/