Qui est propriétaire d’un Dpia ?

Smart Global Governance solution

Découvrez nos solutions sans obligation d’achat

ESSAI GRATUIT 15 JOURS

Le règlement général sur la protection des données (RGPD) a introduit de nouvelles obligations obligeant les entreprises et les organisations à réaliser des analyses d’impact sur la protection des données si les données personnelles qu’elles traitent présentent un risque élevé pour les intérêts des personnes. Si les autorités de contrôle compétentes ne sont pas consultées comme il se doit, cela pourrait entraîner une augmentation de 1,5 milliard d’euros des violations de données en 2016, soit plus que toute année précédente. Le règlement général sur la protection des données, qui fait suite à la directive de l’Union européenne (UE) sur la protection des données, oblige les organisations qui fournissent des biens et des services aux personnes de l’UE à collecter et à analyser les données conformément à la législation européenne, quel que soit le lieu d’implantation de l’entreprise. Sources : 6,1,12]

Les organisations doivent établir un processus d’évaluation des risques liés aux données personnelles (DPIA) qui les aide à déterminer quand elle est nécessaire ou recommandée pour être efficace et à mettre en œuvre ses résultats. Si l’entreprise a désigné un contrôleur de la protection des données, son avis doit être pris en compte dans la mise en œuvre de l’EFDP et, s’il a accès aux données et aux autres parties prenantes clés impliquées dans le projet, il doit également être consulté. Les politiques de protection de la vie privée doivent être mises en œuvre en coopération avec les équipes travaillant sur les processus de données et aider à identifier et à réduire les risques pour les données, d’où qu’elles viennent. Sources : 16,17,4,11]

Une analyse d’impact sur la protection des données est une bonne idée pour s’assurer que les organisations sont responsables lorsqu’il s’agit de la quantité de données collectées sur les individus. Pour faire comprendre comment et pourquoi les données personnelles sont traitées et collectées, il faut montrer que l’analyse d’impact sur la protection des données évalue les nouveaux risques. Obtenir l’avis des personnes concernées permettra aux responsables du traitement des données de comprendre les préoccupations des personnes concernées et d’améliorer la transparence en indiquant clairement aux individus comment leurs informations sont utilisées. Après la consultation, les inspecteurs informeront les autorités de contrôle des mesures prises pour protéger les mesures qu’elles adoptent. [Sources : 5,0,13,10]

Les risques vont du vol ou de l’utilisation involontaire de données par des criminels pour usurper l’identité de personnes à la crainte que des organisations utilisent des données individuelles à des fins inconnues. La perte de contrôle ou de capacité à contrôler l’utilisation des données et l’incapacité à exercer les droits sur les données sont considérées comme des risques pour les personnes concernées. Sources : 0,3]

Les autres éléments qui peuvent être inclus dans une évaluation de la protection des données sont le type de données collectées, les personnes qui les collectent, la durée de la collecte, du stockage et de l’utilisation des données, et le degré de contrôle que les personnes concernées peuvent exercer sur l’utilisation de leurs données. Il s’agit notamment d’informations sur la personne qui collecte les données personnelles, sur les données qu’elle attend, sur le contexte du traitement à prendre en compte (par exemple, les données concernant les enfants ou les personnes vulnérables) et sur le degré de contrôle que la personne peut exercer sur ces données. Il fournit des détails sur le type de données collectées (à quelle fréquence il est prévu de traiter des ensembles de données, à quelles fins et pour combien de personnes), le nombre de personnes et/ou d’organisations pour lesquelles elles sont généralement traitées (par exemple, en ce qui concerne l’âge et le sexe des personnes et de leur famille), le degré de sensibilité probable des données et le nombre de personnes concernées par ces données (y compris des informations sur les personnes qui les collectent et ce qu’elles attendent, ainsi que sur leur portée et leur champ d’application). [Sources : 3,13,3,14]

L’article 4 (7) GDPR indique que le « responsable du traitement » est « la personne qui est responsable, seule ou conjointement avec d’autres, de la finalité et des moyens du traitement des données à caractère personnel. » Il précise que  » le responsable est la personne désignée soit seule, soit conjointement ou avec d’autres, soit seule et conjointement et conjointement  » (article 5). [Sources : 5,6]

GDPR sur le traitement des données à caractère personnel pour le compte du responsable du traitement (article 6) et pour le traitement des données à caractère personnel de tiers, tels qu’une entreprise ou une personne physique, pour le compte ou au nom du responsable du traitement (article 7). Sources : 6]

Si votre organisation dispose d’un délégué à la protection des données, la possibilité de préparer et d’examiner une analyse d’impact sur la protection des données (AIPD) pour le traitement des données à caractère personnel au nom du responsable du traitement et des tiers peut vraisemblablement l’impliquer de plusieurs manières. Le rôle d’un PAO est de gérer les D-POA, de coopérer avec eux et d’être guidé par eux dans l’évaluation de l’impact sur la protection des données. Les organisations qui cherchent des conseils sur le règlement général sur la protection des données et le RGPD chercheront souvent des informations sur le rôle et les responsabilités de leur délégué à la protection des données. Vous pouvez utiliser ces informations pour réaliser les évaluations d’impact sur la vie privée nécessaires et d’autres activités de gestion des données et de conformité. Sources : 8,13,13]

Le bureau du commissaire à l’information du Royaume-Uni (ICO), qui est chargé de faire appliquer le GDPR dans ce pays, a produit des modèles d’évaluations d’impact sur la vie privée. Le modèle le plus connu pour les évaluations d’impact sur la protection des données est le Data Privacy Impact Assessment (DPIA), une autorité britannique indépendante qui respecte les droits à l’information et les politiques de confidentialité. Sources : 13,2]

Il s’agit du traitement des données personnelles, qui vise à permettre la surveillance et la collecte automatisées de données personnelles sur les personnes générées par l’utilisation de technologies telles que la technologie de reconnaissance faciale, la biométrie et d’autres technologies. Il peut s’agir, de manière générale, de la collecte et du traitement d’informations sur les personnes et de l’analyse des données. Les données personnelles sont traitées par des technologies capables de reconnaître des visages dans une foule et de rechercher des correspondances. En général, ces données, qui divulguent des informations permettant d’identifier clairement une personne physique ou se rapportant à une condamnation pénale ou à un crime, sont traitées. Dans son blog, l’ICO écrit que « la reconnaissance faciale fait partie de la même catégorie que d’autres formes de collecte, de traitement, d’analyse et d’exploitation des données. [Sources : 15,9,6,7]

Sources :

  • [0] : http://www.dataprotection.ie/en/organisations/know-your-obligations/data-protection-impact-assessments
  • 1] : https://www.gdprregister.eu/gdpr/data-protection-impact-assessment-guide/
  • 2] : https://seersco.com/articles/articles/data-protection-impact-assessment-dpia/
  • [3] : https://www.itpro.co.uk/general-data-protection-regulation-gdpr/how-to-perform-a-data-protection-impact-assessment
  • [4] : https://gdpr-info.eu/issues/privacy-impact-assessment/
  • [6] : https://docs.microsoft.com/en-us/compliance/regulatory/gdpr-data-protection-impact-assessments
  • [7] : https://lazarusalliance.com/benefits-of-a-dpia/
  • [8] : https://dataprivacymanager.net/what-is-dpia-a-data-protection-impact-assesment/
  • [9] : https://www.dur.ac.uk/ig/dp/dpia/
  • [10] : https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/data-protection-impact-assessments-dpias/what-is-a-dpia/
  • [11] : https://gdpr.eu/data-protection-impact-assessment-template/
  • [12] : https://gdprinformer.com/gdpr-articles/impact-assessments-guide
  • [13] : https://www.airiodion.com/data-protection-impact-assessment/
  • [14] : https://blog.bearer.sh/data-protection-impact-assessment-dpia/
  • [15] : https://www.ashurst.com/en/news-and-insights/legal-updates/better-safe-than-sorry–dpias-and-m-and-a/
  • [16] : https://globaldatahub.taylorwessing.com/article/dpias-under-the-gdpr
  • [17] : https://www.csoonline.com/article/3445424/when-and-how-to-write-a-gdpr-dpia.html