Qui réalise l’EIVP ?

Smart Global Governance solution

Découvrez nos solutions sans obligation d’achat

ESSAI GRATUIT 15 JOURS

L’évaluation des incidences sur la vie privée (EIVP) est un processus permettant d’analyser la manière dont les entreprises collectent les données personnelles en relation avec les risques existants et futurs pour la vie privée et la sécurité des personnes et de leurs données. L’EFVP est un processus qui vise à aider à analyser, identifier et minimiser systématiquement les risques liés à la protection des données dans un plan de projet. C’est un élément important du système de gestion des risques liés à la protection des données (DPRMS) de l’OMS. DPIPA) Et il fait partie d’une série de processus destinés à aider à analyser, identifier ou minimiser systématiquement les risques liés à la protection des données dans les plans de projet. Le DPia est l’un des projets d’une série de processus qui contribuent à analyser, identifier et minimiser systématiquement les risques de protection des données de la planification des projets. Sources : 7,15,15]

Le DPIA est un processus permettant de décrire le traitement, d’évaluer sa nécessité et sa proportionnalité et de contribuer à traiter les risques pour les droits et libertés des personnes physiques découlant de l’utilisation des données afin d’évaluer et de définir les mesures pour les combattre. Le DPIPA) et il constitue un élément important du système de gestion des risques liés à la protection des données (DPRMS) de l’OMS. Le DPipA est un autre processus qui identifie le traitement à décrire, évalue sa nécessité et sa proportionnalité, et aide à gérer le risque pour les droits et libertés des personnes physiques qui en résulte en l’évaluant et en déterminant si des mesures sont prises à son encontre, ainsi que l’impact sur les droits de l’homme. [Sources : 16,16]

L’objectif principal de la mise en œuvre du DPIA est d’identifier et de minimiser les risques liés à la protection des données d’un projet. Les mêmes outils utilisés pour identifier les autres risques réglementaires et commerciaux peuvent également être utilisés pour évaluer les risques pour les droits et libertés des personnes physiques dans les projets impliquant la protection des données et les risques. Sources : 4,4]

Par exemple, lorsqu’une banque d’investissement souhaite traiter des données à caractère personnel ou détecter des transactions frauduleuses, l’EFDP peut aider à identifier les risques pour la personne concernée, mais peut également être utile pour évaluer les décisions opérationnelles, telles que le matériel ou le logiciel utilisé à tel ou tel endroit et le recours à différents contrôleurs de données pour effectuer différentes opérations de traitement. D’autres éléments qui peuvent être inclus dans une évaluation de la protection de la vie privée sont le type de données collectées, la durée de leur collecte, de leur stockage et de leur utilisation, et la durée de leur utilisation. Les décisions opérationnelles sont une combinaison de différentes méthodes qui sont créées et revues à chaque étape, notifiée par l’évaluation de l’impact sur les données (DPia) du client. Sources : 17,13,3,0]

Il s’agit notamment du traitement de données à caractère personnel qui a lieu dans des zones publiques que les passants ne peuvent éviter, ou du traitement qui vise à permettre ou à refuser aux individus l’accès à un service. Le DPIA doit être mené en collaboration avec l’équipe travaillant sur le traitement des données afin d’aider à identifier et à atténuer les risques pour les données, d’où qu’ils viennent. Si le traitement entraîne une violation de la vie privée du client ou une violation de ses droits en vertu de la loi sur la protection des données, l’évaluation de l’impact sur la vie privée doit également être réalisée par le responsable du traitement. Sources : 5,9,2]

Les analyses d’impact sur la protection des données peuvent être utilisées pour identifier et atténuer les risques liés à la protection des données – risques qui peuvent découler de nouveaux projets et affecter l’organisation ou les personnes avec lesquelles elle travaille. La mise en œuvre d’une DPIA améliorera la compréhension des données – les risques de protection associés au projet et son impact sur la vie privée des personnes et des organisations. Déterminer si et, le cas échéant, quelle DPIA doit être réalisée et à quel moment. Sources : 4,4,14]

S’il n’est pas clair si une EFDP est nécessaire, le WP29 recommande qu’elle soit mise en œuvre comme un instrument général de protection des données. Si un délégué à la protection des données est désigné par l’entreprise, son avis doit être pris en compte lors de la mise en œuvre d’un DPIA. Sources : 10,8]

Si vous avez un délégué à la protection des données, vous devrez consulter d’autres parties prenantes clés impliquées dans le projet, telles que le directeur général (CIO), le directeur général de l’entreprise et d’autres cadres supérieurs. Si vous avez un délégué à la protection des données qui est responsable d’un projet à haut niveau de conformité, il doit être consulté avec le PDG, le directeur général (CDO) et toutes les autres parties prenantes clés impliquées dans ce projet. Si le délégué à la protection des données a accès aux données d’au moins un de vos employés. [Sources : 12,12]

Il faut conseiller également de bien réfléchir à ce que fait le DPIA pour d’autres traitements de grande ampleur, impliquant un profilage et un suivi, déterminant l’accès à des services ou à des opportunités, ou concernant des données sensibles ou des personnes vulnérables. Vous devriez également réfléchir attentivement et tirer des enseignements des directives de l’autorité de protection de la vie privée, qui définissent strictement de nouvelles obligations pour vos clients Microsoft. Il peut s’agir de l’approbation réglementaire d’un traitement à haut risque, de l’obligation pour les vendeurs de fournir un APD, de donner aux consommateurs des conseils en matière de protection de la vie privée, etc. Vous devriez également réfléchir attentivement à ce que fait le DPIA pour le traitement d’autres personnes, s’il s’agit d’une taille plus importante, d’un profilage ou d’une surveillance et/ou d’une décision sur les options d’accès ou de service, et s’il s’agit de données pertinentes et/ou de personnes vulnérables. Sources : 1,6,3,11].

Sources :

  • [0] : https://www.airiodion.com/data-protection-impact-assessment/
  • 1] : https://localgovernmentlawyer.co.uk/information-law/344-information-law-features/38433-gdpr-and-data-protection-impact-assessments-when-and-how
  • 2] : https://www.csoonline.com/article/3445424/when-and-how-to-write-a-gdpr-dpia.html
  • [3] : https://sites.google.com/view/tmyyxeyipc/data-protection-impact-assessments-dpia-guidance
  • [4] : http://www.dataprotection.ie/en/organisations/know-your-obligations/data-protection-impact-assessments
  • [5] : https://www.dur.ac.uk/ig/dp/dpia/
  • [6] : https://qvi.vishwakarmaamalgamated.site/dpia-gdpr-example.html
  • [7] : https://www.gincollc.ae/love-stream-hwoqpx/f7d4c3-dpia-vs-pia
  • [8] : https://gdpr-info.eu/issues/privacy-impact-assessment/
  • [9] : https://www.cnil.fr/en/privacy-impact-assessment-pia
  • [10] : https://www.dataguidance.com/opinion/eu-how-when-and-why-carrying-out-dpia
  • [11] : https://medium.com/privacy-technology/conducting-and-operationalizing-privacy-reviews-28b94c24017
  • [12] : https://gdpr.eu/data-protection-impact-assessment-template/
  • [13] : https://lawandtech.eu/2017/12/29/dpias/
  • [14] : https://ispo.newschool.edu/standards/risk-management/
  • [15] : https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/data-protection-impact-assessments-dpias/what-is-a-dpia/
  • [16] : https://unless.com/en/privacy/dpia/
  • [17] : https://www.talend.com/resources/how-to-conduct-data-protection-impact-assessments/