Qu’est-ce qu’une EIP dans le cadre de la Gdpr ?

Smart Global Governance solution

Découvrez nos solutions sans obligation d’achat

ESSAI GRATUIT 15 JOURS

L’évaluation des incidences sur la vie privée (EIP) est un terme ancien qui désigne une évaluation qui examine l’impact et les risques de la vie privée dans un projet ou un processus avant de prendre en compte la vie privée. Elle peut parfois avoir différentes significations et être utilisée de différentes manières, par exemple comme une évaluation des risques ou une évaluation de la protection des données, mais elle est généralement utilisée de la même manière dans le cadre du Règlement général sur la protection des données (RGPD) de l’Union européenne. Sources : 2,2]

Dans les cas où il n’est pas clair si la déclaration de protection des données est obligatoire, la mise en œuvre est un outil utile pour aider les contrôleurs de données à se conformer aux lois sur la protection des données. En termes simples, elle peut être utilisée lorsqu’une organisation planifie quelque chose qu’elle veut faire, mais qu’elle a besoin d’une analyse plus approfondie et de conseils avant d’inviter les régulateurs ou les régulateurs professionnels. Dans les cas où il n’est pas clair si le GDPR est obligatoire ou non, la mise en œuvre d’un GDPR peut néanmoins être un outil utile pour le contrôleur et l’aider à se conformer au GDPR. Toutefois, dans certains cas, par exemple lorsque le GDPR indique que la loi sur la protection des données (Data Protection Act) ou la directive sur la protection des données (Data Protection Directive), le DIBA (Digital Single Market) ou dans le cas d’une violation de données, un GDPR est également un outil précieux. [Sources : 11,1,1]

Les évaluations d’impact sur la protection des données peuvent être utilisées pour identifier et atténuer les risques liés à la protection des données – risques liés qui peuvent découler de nouveaux projets et affecter l’organisation ou les personnes qu’elle emploie. L’évaluation d’impact sur la protection des données est conçue pour aider une organisation à comprendre les risques associés à une activité particulière de traitement des données et les mesures qui peuvent être prises pour atténuer ces risques. En particulier, il convient d’évaluer si la solution de protection des données mise en œuvre a l’effet escompté d’atténuer les risques liés à la protection des données et si elle est compatible avec le GDPR. Sources : 8,8,12]

L’objectif du DPIA est d’analyser et d’identifier les risques de protection des données dans un plan de projet, de les minimiser et d’évaluer leur impact sur le travail de l’organisation. Sources : 4]

Le DPIA est un processus qui permet d’identifier et de minimiser les risques liés à la protection des données dans un projet et de minimiser leur impact sur le travail de l’organisation et de ses employés. Le DPIA fait partie d’une série de processus qui permettent d’identifier, de minimiser et de traiter la protection des données dans le plan de projet, tels que l’évaluation des risques de protection des données (DPA) et l’analyse de la politique de confidentialité (PPA). Le DPIA est la base des processus qui ont permis d’identifier, de minimiser et de traiter la protection des données dans les projets et son impact sur la vie privée et les droits personnels de ses employés, ainsi que leurs droits en vertu du GDPR et d’autres lois et règlements de l’UE. Elle est responsable de l’élaboration et de la mise en œuvre de procédures et de procédés de protection et de sécurité des données dans la planification et la gestion des projets en Europe et dans le monde. Il est à la base d’un certain nombre de processus qui permettent d’identifier, de minimiser et de traiter les droits de protection des données et la protection des informations dans les projets et les projets. Sources : 7,6,6,7]

L’objectif principal du DPIA est d’identifier et de minimiser les risques pour la vie privée d’un projet et son impact sur la vie privée et les droits personnels de ses employés. Sources : 8]

L’analyse d’impact sur la protection des données (DPIA) doit être réalisée à chaque nouveau démarrage du projet et doit contenir un risque élevé pour les données personnelles des personnes si celui-ci contient des risques élevés pour leurs données personnelles. Elle est nécessaire lorsque le traitement des données est susceptible d’engendrer des personnes à haut risque et donc d’utiliser des données d’audit d’informations existantes pour réaliser cette partie de l’évaluation. Si l’organisation collecte de nouvelles catégories de données personnelles et que ces données sont utilisées à de nouvelles fins, il est nécessaire de mettre à jour la politique de confidentialité pour refléter les nouveaux changements dans la collecte des données personnelles. Il n’est pas nécessaire de décrire en détail l’origine de ces données, la manière dont elles ont été traitées, stockées ou détruites. Sources : 2,12,3,5]

Les opérations de traitement peuvent comporter des risques élevés si les opérations de traitement sont effectuées avec une nouvelle technologie pour laquelle une DPIA n’a pas encore été réalisée par le responsable du traitement. Si un risque élevé n’est pas probable, une EFDP en tant que responsable du traitement serait nécessaire pour réduire la responsabilité du traitement des données et assurer la protection des données. Sources : 9,9]

L’article 35 du GDPR exige une analyse d’impact sur la protection des données, qui est soumise au traitement des données. Ainsi, il faut examiner d’abord quels contrôleurs sont obligés d’évaluer et dans quelles circonstances il y a une exigence de protection des données et d’analyses d’impact. Ce projet a pu se conformer à toutes les exigences du GDPR – dispositions obligatoires pour la protection des données. [Sources : 9,0,11]

Il faut examiner ci-dessous comment déterminer quand vous devez mener une DPIA et si une analyse d’impact sur la protection des données doit suivre et comment elle sera menée. Pour souligner que le GDPR vous donne une idée de ce qui est vraiment important du point de vue du risque des données personnelles sous le GDPR, le GDPR résume les 3 cas où une DPIA est requise. [Sources : 11,10]

Sources :

  • [0] : https://www.privacypolicies.com/blog/conducting-data-protection-impact-assessment/
  • 1] : https://www.nuigalway.ie/data-protection/staffandstudentresources/dataprotectionimpactassessments/
  • 2] : https://hirett.co.uk/gdpr-data-protection-impact-assessment-dpia-template-assessment-requirements-and-stages-evaluate-privacy-solutions-template-for-fca-applications-and-authorised-firms
  • [3] : https://seersco.com/articles/articles/data-protection-impact-assessment-dpia/
  • [4] : https://www.schr.info/data-protection
  • [5] : https://www.itgovernanceusa.com/gdpr-data-protection-impact-assessments-dpias
  • [6] : https://www.keele.ac.uk/informationgovernance/fortheuniversity/dataprotection/privacybydesign/dataprotectionimpactassessments/
  • [7] : https://about.gitlab.com/handbook/engineering/security/dpia-policy/
  • [8] : http://www.dataprotection.ie/en/organisations/know-your-obligations/data-protection-impact-assessments
  • [10] : https://gdpr.eu/data-protection-impact-assessment-template/
  • [11] : https://www.i-scoop.eu/gdpr/dpia-data-protection-impact-assessments/
  • [12] : https://www.whitecase.com/publications/alert/covid-19-and-data-protection-compliance