Qui doit réaliser une EIPD ?

Smart Global Governance solution

Découvrez nos solutions sans obligation d’achat

ESSAI GRATUIT 15 JOURS

Décider quand réaliser une analyse d’impact sur la protection des données (AIPD) et comprendre comment le faire est un domaine difficile. Il y sera expliquer comment déterminer le moment où il faudra mettre en œuvre une politique de protection de la vie privée et comment il faut la suivre et l’appliquer efficacement. Les questions de dépistage aident les utilisateurs à déterminer s’ils doivent se soumettre à un DPIIA, qui n’est pas une question de dépistage, mais plutôt un test de dépistage de haut niveau, car certaines caractéristiques indiquent des risques potentiellement élevés. Sources : 1,20,17,18]

Pour vous aider à décider si une DPIA est nécessaire, vous devez effectuer une évaluation de l’impact sur la vie privée dès que possible. Des lignes directrices ont été élaborées pour déterminer si une EFDP était nécessaire pour votre initiative et, le cas échéant, pour expliquer comment réaliser l’évaluation. Sources : 8,4]

Le GDPR ne précise pas exactement comment remplir une EIDP, mais la première chose (et probablement la plus évidente) que vous devez fournir est une description complète du traitement en question. L’article 35.7 stipule que vous devez fournir au moins des informations sur la nature du traitement, son impact sur les droits et libertés des personnes et la nature de ce traitement. Si vous pensez que certaines personnes vulnérables seront impliquées dans ce traitement et qu’aucun autre critère de fonctionnement de la liste n’aurait dû être utilisé, alors une EFDP n’est pas nécessaire. Toutefois, les types de traitement énumérés en gras exigent qu’elles soient réalisées, en particulier lorsqu’un nouveau système, une nouvelle technologie ou un nouveau processus est envisagé et qu’il peut comporter un risque élevé pour le droit et la liberté d’une personne. Sources : 9,12,18,1]

En cas de doute ou s’il est difficile d’identifier un risque élevé, une DPIA doit être réalisée. En cas de doute sur la nécessité d’une DPIA, la prudence est de mise. Avant de réaliser un DPIA, consultez un délégué à la protection des données qui pourra vous aider à accomplir les formalités nécessaires. Sources : 14,3,13]

En cas de litige ou d’incident lié à la protection des données, le bon déroulement de la procédure est bénéfique, tout comme la conduite d’une telle procédure. Si votre entreprise a désigné un délégué à la protection des données, vous devez tenir compte de ses conseils lors de la réalisation d’une DPIA et le consulter (DPO) si vous n’êtes pas sûr du moment où vous devez envisager une DPIIA. Dans certains cas, la personne qui dirige un projet qui déclenche un DPIA peut également être impliquée en tant que membre de l’équipe. Sources : 10,14,3,11]

Les organisations devraient établir un processus DPIA qui les aide à évaluer quand il est nécessaire ou recommandé d’être efficace et à mettre en œuvre ses résultats. Les organisations qui doivent se conformer au GDPR doivent également mener une DPIA ou au moins répondre à certaines questions qualifiées pour savoir si elle est nécessaire. Si un DPIA est requis pour une activité de traitement susceptible de présenter un risque élevé pour les intérêts d’une personne, le responsable du traitement doit se demander si l’activité nécessite une évaluation par des tiers. Sources : 16,2,17]

Dans les cas où il n’est pas clair si une EFDP est requise, l’AP29 recommande de la mettre en œuvre de toute façon, car il s’agit d’un outil utile pour aider le responsable du traitement à se conformer aux lois sur la protection des données. Dans le cas d’une mise en œuvre du GDPR, l’orientation du régulateur est de la mettre en œuvre, qu’elle ait été utile ou non comme instrument de conformité au GDPR. Sources : 19,0]

Vous devez identifier si une DPIA est nécessaire et créer un entrepreneur ou un chef de projet à utiliser pour déterminer si elle est nécessaire ou non. Il faut préparer un guide à l’intention des entrepreneurs et des chefs de projet pour les aider à identifier la nécessité d’une DPIA, ainsi qu’un modèle pour créer le modèle de DPIPA. [Sources : 0,1]

Une fois que vous avez décidé qu’une DPIA complète et détaillée est nécessaire, vous devrez vous soumettre à un screening initial de DPIPA. Le résumé est la première étape pour déterminer si un DPIA doit être effectué. Sources : 7,13]

Pour plus de clarté, pour des exemples de chaque type de traitement susceptible de nécessiter un DPIA. Si l’un de ces critères, combiné à d’autres, présente un risque élevé, poursuivez votre lecture pour obtenir une liste des opérations qui nécessitent une DPIA et le risque élevé qui en découle. Par exemple, une OIC peut exiger que vous remplissiez une DPIIA si les opérations dont vous avez besoin sont à haut risque. Un ICO exige également que le traitement soit complété lui-même s’il entraîne des risques élevés, et ce tableau fournit un exemple connexe. [Sources : 0,18,6]

En règle générale, tout traitement qui répond à au moins deux critères nécessite une EFDP. Bien que les directives suggèrent que, dans la plupart des cas, les opérations de traitement répondant à au moins deux de ces critères nécessitent une DPIA, vous devez envisager la possibilité que vous ayez besoin d’une DPIPA si vous répondez déjà à l’un de ces critères. Une façon de déterminer rapidement et facilement si un DPIIA est nécessaire ou non est d’utiliser les directives de la US Securities and Exchange Commission (SEC) concernant les DPia. Sources : 3,5,15]

Sources :

  • [0] : https://blog.rsisecurity.com/how-do-you-perform-a-dpia/
  • 1] : https://dpnetwork.org.uk/data-protection-by-design-data-protection-impact-assessments/
  • 2] : https://globaldatahub.taylorwessing.com/article/dpias-under-the-gdpr
  • [3] : https://www.keele.ac.uk/informationgovernance/fortheuniversity/dataprotection/privacybydesign/dataprotectionimpactassessments/
  • [4] : https://www.dur.ac.uk/ig/dp/dpia/
  • [5] : https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/accountability-and-governance/data-protection-impact-assessments/
  • [6] : https://normcyber.com/advisory-notes/data-protection-impact-assessment/
  • [7] : https://aru.ac.uk/about-us/governance/policies-procedures-and-regulations/data-protection/data-protection-impact-assessment
  • [8] : http://www.sussex.ac.uk/ogs/policies/information/dpa/dpia
  • [9] : https://www.fieldfisher.com/en/services/privacy-security-and-information/privacy-security-and-information-law-blog/data-protection-impact-assessments-%E2%80%93-what-when-an
  • [10] : https://www.privacypolicies.com/blog/conducting-data-protection-impact-assessment/
  • [11] : https://blog.netwrix.com/2021/02/17/data-protection-impact-assessment/
  • [12] : https://www.itpro.co.uk/general-data-protection-regulation-gdpr/how-to-perform-a-data-protection-impact-assessment
  • [13] : https://www.thorntons-law.co.uk/knowledge/how-to-approach-data-protection-impact-assessments
  • [14] : https://gdpr-info.eu/issues/privacy-impact-assessment/
  • [15] : https://www.itgovernance.co.uk/blog/gdpr-six-key-stages-of-the-data-protection-impact-assessment-dpia
  • [16] : https://www.dataguidance.com/opinion/eu-how-when-and-why-carrying-out-dpia
  • [17] : https://www.itgovernanceusa.com/blog/dpias-and-why-every-organization-needs-to-conduct-them
  • [18] : https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/data-protection-impact-assessments-dpias/when-do-we-need-to-do-a-dpia/
  • [19] : https://www.ucc.ie/en/gdpr/policyandprocedures/dataprotectionimpactassessmentprocedure/
  • [20] : https://gdpr.eu/data-protection-impact-assessment-template/