Découvrez nos solutions sans obligation d’achat
Une évaluation de l’impact sur la vie privée, parfois appelée évaluation de l’impact sur la vie privée (PIA), est un outil qui décrit l’impact d’un plan de projet pour traiter et protéger les données personnelles d’une personne (PI / PII). L’évaluation d’impact sur la vie privée est un processus qui vise à contribuer à l’analyse, à l’identification et à la réduction systématique de la protection des données et des risques dans les plans de projet, comme le prévoit la directive de l’Union européenne sur la protection des données. Sources : 5,18]
L’évaluation des facteurs relatifs à la vie privée et à la protection des données (DPIA) doit également être soigneusement étudiée pour traiter d’autres traitements de grande ampleur, impliquant un profilage ou une surveillance, déterminant l’accès à des services ou à des opportunités, ou concernant des données sensibles ou des personnes vulnérables. Les EFDP doivent être mises en œuvre lorsque le projet comprend une prise de décision automatisée – comme le profilage pour des impacts juridiques ou d’importance similaire – ainsi que d’autres types de traitement. Sources : 3,12]
L’EFDP doit être menée en collaboration avec les équipes chargées du traitement des données pour aider à identifier et à atténuer les risques liés aux données, d’où qu’ils viennent. Lors de la préparation d’une EFDP, les organisations devraient chercher à nommer un responsable de la protection des données pour les conseiller. Consultez d’autres parties prenantes clés impliquées dans le projet pour avoir un délégué à la protection des données à bord en tant que membre clé de l’équipe de gestion des données, comme le directeur de l’information, le directeur des données ou le directeur de la gestion des données. Lors de la préparation du DPIPI d’une organisation, il convient également de demander l’avis et les conseils d’un cadre supérieur ou d’un haut fonctionnaire nommé au sein de l’organisation, qu’il agisse ou non à titre consultatif. [Sources : 10,4,9,9]
Si une entreprise a nommé un contrôleur de la protection des données, son avis doit être pris en compte lors de la mise en œuvre d’une EFDP. Si un contrôleur de la protection des données a été désigné par l’entreprise, son avis doit également être pris en compte lors de la planification du DPIPI. Sources : 8]
Si votre organisation ne dispose pas de suffisamment de spécialistes ou d’expérience, vous devez faire appel à un spécialiste externe pour réaliser une évaluation des risques avant la mise en œuvre. L’équipe de protection des données de MDSNY peut vous aider dans l’examen de tous les aspects du GDPR, y compris le modèle de DPIPI fourni pour le GDPR. Si vous avez besoin de conseils sur un aspect particulier de la politique de confidentialité de votre entreprise, veuillez contacter Razia Begum ou Rachel Ashwood. Pour toute assistance, veuillez contacter un représentant du M DSNY ou du département de la protection des données du ministère de la justice ou du bureau du procureur général. Sources : 2,15,7]
Si les questions de filtrage indiquent qu’une analyse d’impact est nécessaire, le chef d’équipe DPIA évaluera toutes les opérations de traitement concernées par la DPIA sur la base du filtrage positif et décidera si des membres supplémentaires de l’équipe sont nécessaires. Créez une liste d’entrepreneurs et de chefs de projet que vous pourrez utiliser pour déterminer si une DPIA était nécessaire ou non. Sources : 6,1]
L’accès aux données sur cette question permettra aux responsables du traitement de comprendre les préoccupations des personnes concernées et d’améliorer la transparence en clarifiant la manière dont les informations individuelles sont utilisées. Si des données personnelles sont utilisées par une organisation, les données traitées peuvent vous exposer à un risque. Si un problème est identifié qui peut vous affecter, l’EFDP doit être mise à jour et les étapes de développement du processus répétées. Vous devez également être informé des problèmes qui ont été identifiés et qui peuvent vous affecter. En plus de l’identification des problèmes et de la mise à jour du DPIA, il est nécessaire de répéter les étapes de développement des processus et les mises à jour si des problèmes sont développés et peuvent vous affecter. [Sources : 9,9,13,13]
La perte de contrôle ou de capacité à contrôler l’utilisation des données ou à exercer les droits sur les données est considérée comme un risque pour la personne concernée. Sources : 16]
Si tel est le cas, le responsable du traitement doit effectuer une déclaration de protection des données pour évaluer le risque pour la vie privée, la sécurité, les droits personnels et la protection des données de la personne concernée avant de commencer le traitement effectif. Les opérations de traitement impliquant des données à haut risque utiliseront une nouvelle technologie que le responsable du traitement n’a pas encore mise en œuvre, comme l’utilisation de nouvelles technologies de traitement des données. Sources : 0,14]
Les évaluations d’impact sur la protection des données peuvent être utilisées pour identifier et atténuer les risques liés à la protection des données – risques qui peuvent découler de nouveaux projets et affecter l’organisation ou les personnes avec lesquelles elle travaille. N’oubliez pas que l’évaluation d’impact sur la protection des données doit être effectuée chaque fois que des données personnelles sont traitées et que le traitement est considéré comme à haut risque. La DPIA doit toujours être mise à jour lorsque des processus sont développés et que des problèmes sont identifiés qui pourraient affecter la vie privée, la sécurité, les droits personnels et la protection de la personne concernée. Obtenez un bon aperçu des risques liés à l’utilisation de technologies de traitement des données à prix fixe au Royaume-Uni. [Sources : 5,11,13,2]
Si votre organisation dispose d’un délégué à la protection des données, il sera impliqué dans la compilation et la révision du modèle GDPR. Si vous faites partie d’une autorité de protection des données, comme un cabinet d’avocats, un organisme chargé de l’application de la loi ou une agence gouvernementale, ils peuvent également être impliqués dans la création et la révision des modèles GDPRDPIA pour leurs domaines de compétence respectifs. Si votre organisation dispose d’un délégué à la protection des données, il sera également chargé de démonter, d’examiner et de réviser les directives de protection des données et de sécurité pour sa juridiction respective. Sources : 17,17]
Sources :
- [1] : https://hirett.co.uk/gdpr-data-protection-impact-assessment-dpia-template-assessment-requirements-and-stages-evaluate-privacy-solutions-template-for-fca-applications-and-authorised-firms
- [2] : https://www.itgovernance.eu/en-ie/gdpr-data-protection-privacy-impact-assessments-ie
- [3] : https://www.termsfeed.com/blog/gdpr-data-protection-impact-assessment/
- [4] : https://gdpr.eu/data-protection-impact-assessment-template/
- [5] : https://blog.bearer.sh/data-protection-impact-assessment-dpia/
- [6] : https://dpnetwork.org.uk/data-protection-by-design-data-protection-impact-assessments/
- [7] : https://www.taylorvinters.com/article/five-things-need-know-data-protection-impact-assessments
- [8] : https://gdpr-info.eu/issues/privacy-impact-assessment/
- [10] : https://www.csoonline.com/article/3445424/when-and-how-to-write-a-gdpr-dpia.html
- [11] : https://www.utwente.nl/en/bms/datalab/research-data-and-gdpr/dpia/
- [12] : https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/accountability-and-governance/data-protection-impact-assessments/
- [13] : http://www.dataprotection.ie/en/organisations/know-your-obligations/data-protection-impact-assessments
- [14] : https://www.i-scoop.eu/gdpr/dpia-data-protection-impact-assessments/
- [15] : https://www.mdsny.com/pia-dpia-assessment/
- [16] : https://www.itpro.co.uk/general-data-protection-regulation-gdpr/how-to-perform-a-data-protection-impact-assessment
- [17] : https://www.airiodion.com/data-protection-impact-assessment/
- 18] : https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/data-protection-impact-assessments-dpias/what-is-a-dpia/