Qui approuve Dpia ?

Smart Global Governance solution

Découvrez nos solutions sans obligation d’achat

ESSAI GRATUIT 15 JOURS

Le 13 septembre 2019, la législature californienne a adopté l’A.B. 1202, qui établit une liste d’entreprises qui doivent être enregistrées auprès du procureur général dans un délai d’un an. Le 26 novembre 2019, quatre sénateurs ont soutenu un projet de loi visant à créer une nouvelle catégorie d’entreprises qui traitent les données des consommateurs. [Sources : 1,1]

Conformément au GDPR, les entreprises doivent se demander si leurs processus, qui comprennent l’évaluation et l’appréciation des personnes et la prise de décision automatisée – l’utilisation de données sensibles, y compris les informations personnelles telles que les noms, adresses, numéros de téléphone et adresses électroniques – les incluent. Il peut s’agir de tiers effectuant des contrôles de santé, analysant des documents de voyage ou installant des apps qui demandent au personnel de saisir leurs données pour analyse. Le PIPC a publié des conseils après qu’un prestataire de services de recrutement a enfreint la loi en divulguant des données personnelles à une entreprise cliente sans avoir obtenu au préalable le consentement de la personne concernée et en ne mettant pas en œuvre des politiques de protection des données adéquates. Sources : 1,8,0]

Bien que l’EFDP concerne à la fois les clients et les employés, nouveaux ou existants, et leurs contacts actuels, le processus de consultation doit être conçu pour recueillir les points de vue de toutes les parties prenantes. Lors du traitement des données d’un client ou d’un employé, nouveau ou existant, de ses parents, frères et sœurs, grands-parents ou autres membres de la famille, par exemple, ces données doivent également être conçues de manière à ce que l’avis des parties concernées soit entendu. En plus de solliciter l’avis du client et de ses employés, comme les parents et les proches des employés ou leurs parents, un processus de consultation devrait également être conçu de manière à ne pas créer de confusion ou de trouble. [Sources : 10,4]

Faites attention à ne pas obtenir le consentement de toutes les parties impliquées dans le DPIA en même temps, par exemple, le client et ses employés, ses parents, ses frères et sœurs, ses grands-parents ou d’autres membres de la famille. Sources : 6]

Si vous avez un délégué à la protection des données, vous devez obtenir et documenter son consentement et tenir compte de son avis lors de la mise en œuvre de la déclaration de protection des données. Si votre entreprise a désigné un délégué à la protection des données, vous ne pouvez pas recevoir une copie de cette déclaration à moins d’en faire la demande écrite par courrier certifié à l’autorité susmentionnée ou à la personne ou entité avec laquelle vous concluez le contrat. Sources : 2,4,7]

Si vous traitez des données en raison d’une obligation légale ou si vous avez déjà effectué une évaluation des facteurs relatifs à la vie privée et à la protection des données similaire, cette démarche n’est pas nécessaire. Si la personne qui dirige le projet qui déclenche le DPIA a été impliquée dans un DPIA, vous n’êtes pas obligé d’en avoir un si vous êtes tenu par le DPIPA de traiter des données – obligations légales. Étant donné que le TPIA implique la collecte de données sur des personnes qui n’ont pas encore été identifiées, vous n’avez pas besoin de mener une recherche ciblée sur ces personnes. Sources : 6,6,4]

Vous n’avez pas à traiter des données pour le compte du public en vertu d’une obligation légale, mais vous devez effectuer une DPIA lorsque votre organisation mène un processus qui empêche la personne concernée d’exercer ses droits ou d’utiliser des services dans le cadre d’un contrat. Vous pouvez mener l’AIPD sans délégué à la protection des données et pouvez faire appel à un employé compétent ou à un consultant externe si au moins une des conditions suivantes est remplie. La réglementation en matière de protection des données doit être mise en œuvre conformément à la loi sur la protection des données et à la loi sur la protection des données de 1998 (DPPA) et doit impliquer le traitement de données sur la base d’obligations légales ou d’un contrat de service avec un prestataire tiers. [Sources : 6,6,9]

Vous pouvez décider si vous avez la responsabilité de mener une EFDP pour votre organisation et si vous la signez. Vous pouvez utiliser ou personnaliser la liste de contrôle figurant au bas de ce guide pour vous aider dans cette sélection. Cette description de la procédure servira de base à la mise en œuvre d’une politique de confidentialité complète conformément à la loi sur la protection des données de 1998 (DPPA). [Sources : 10,4,4]

Selon le RGPD, un délégué à la protection des données doit être nommé par le responsable de la protection des données dont l’activité principale consiste à traiter des données à caractère personnel et des données relatives à une catégorie spécifique de « données à caractère personnel » ou de « données relatives à des condamnations pénales ou à des infractions. » [Sources : 3]

Le système de certification par le sceau est mis en œuvre et contrôlé par un organisme indépendant qui a le pouvoir d’être accrédité par l’autorité de protection des données concernée et qui est contrôlé et surveillé par des organismes indépendants. Les organisations qui souhaitent obtenir une certification de sceau peuvent choisir le type de sceau et de certification qu’elles souhaitent demander, mais doivent ensuite accepter de fournir des informations sur leurs activités de traitement à l’autorité compétente et à l’organisme indépendant. Afin de se conformer à un système de certification de sceau, une organisation doit fournir toutes les informations nécessaires et toutes les informations sur ses activités de traitement nécessaires à la mise en œuvre de la procédure de vérification de la certification de sceau à un membre individuel du DPI ou à un dpa ou un organisme indépendant qui supervise un tel système. Après avoir fourni les informations nécessaires et soumis toutes les opérations de traitement pertinentes à son délégué à la protection des données et / ou à une autre autorité de protection des données ou à un organisme indépendant qui supervise les programmes pertinents, l’organisation peut demander un sceau de certification DPIA. Sources : 5,5,5,5,5].

Sources :

  • 0] : https://www.corderycompliance.com/coronavirus-covid19-and-dp/
  • 2] : https://gdpr-info.eu/issues/privacy-impact-assessment/
  • [3] : https://www.citizensinformation.ie/en/government_in_ireland/data_protection/obligations_under_general_protection_regulation.html
  • [4] : https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/data-protection-impact-assessments-dpias/how-do-we-do-a-dpia/
  • [5] : https://www.whitecase.com/publications/article/chapter-12-impact-assessments-dpos-and-codes-conduct-unlocking-eu-general-data
  • [6] : https://blog.netwrix.com/2021/02/17/data-protection-impact-assessment/
  • [7] : https://goldberg.limacityschools.org/advapps/index.php/agormin/28
  • [8] : https://www.pinsentmasons.com/out-law/news/new-gdpr-guidance-helps-explain-when-businesses-should-carry-out-data-protection-impact-assessments-
  • [9] : https://offlinecrm.com/gdpr/
  • 10] : https://www.itgovernance.co.uk/blog/gdpr-six-key-stages-of-the-data-protection-impact-assessment-dpia