Qui remplit le Dpia ?

Smart Global Governance solution

Découvrez nos solutions sans obligation d’achat

ESSAI GRATUIT 15 JOURS

Le DPIA est un processus qui a pour but d’aider à analyser, identifier et minimiser systématiquement les risques liés à la protection des données dans un plan de projet. Cette partie du DPIA reflète souvent le processus de détermination du mode de réalisation du projet, qui peut être intégré dans un exercice de cadrage. En particulier, certains aspects personnels d’une personne qui l’affectent sont évalués, analysés et prédits. Le traitement est automatisé, avec l’aide d’un certain nombre d’experts tiers, tels que des avocats, des consultants et des conseillers. [Sources : 4,3,6]

Si une question de filtrage indique qu’une analyse d’impact est nécessaire, le chef d’équipe DPIA peut évaluer tous les traitements concernés par le DPIA en se basant sur ceux qui ont répondu positivement aux questions de filtrage et décider si des membres supplémentaires de l’équipe sont nécessaires. Si vous menez plusieurs projets qui traitent des données de manière similaire, il se peut que vous deviez effectuer une seule évaluation. Une entreprise (c’est-à-dire une entreprise qui a décidé de la manière dont les informations sont traitées et de la façon dont elles sont traitées) peut avoir besoin de créer une déclaration de confidentialité pour chacune de ces informations. [Sources : 5,12,12]

Quelle que soit la méthode que vous choisissez, il reste important que vous puissiez démontrer que l’organisation responsable en dernier ressort de l’évaluation des facteurs relatifs à la vie privée et à la protection des données a évalué et atténué de manière adéquate et appropriée les risques potentiels pour les personnes au cours du traitement. Vous devriez également examiner attentivement ce que vous faites de votre politique de confidentialité par rapport à d’autres traitements plus importants, impliquant des données sensibles ou des personnes à risque, décidant de l’accès à des services ou à des opportunités, ou impliquant un profilage ou un suivi. [Sources : 9,2]

Ils doivent examiner les risques identifiés dans le cadre des étapes précédentes du processus d’évaluation des risques liés au traitement des données et essayer d’y répondre avec une solution de protection des données qui peut traiter un certain nombre de risques ensemble. Ces risques vont des données volées ou involontaires ou de l’utilisation par des criminels pour usurper l’identité de personnes à la crainte que votre organisation utilise des données individuelles à des fins inconnues. Vous devriez inclure les risques de sécurité, y compris tout type de violation impliquant l’accès à des informations personnelles telles que les mots de passe, les numéros de carte de crédit et autres informations sensibles. [Sources : 6,13,6]

Il existe des risques stratégiques et organisationnels qui peuvent avoir un impact sur la personne concernée. Par exemple, un projet impliquant des tests psychométriques peut prendre la forme d’une violation de données ou de l’utilisation de données personnelles à d’autres fins, et ces effets ne sont pas généralement compris ou connus du public, par exemple lorsque les clients exigent une identification biométrique pour accéder aux services. Le traitement des données peut également être utilisé pour prendre des décisions automatisées concernant des personnes, ce qui peut avoir des effets juridiques ou des effets significatifs similaires. [Sources : 11,1,7,6]

La portée du traitement est décrite dans la directive sur la protection et la sécurité des données (RGPD) et les données comprennent une catégorie spécifique de données sur les infractions pénales. La nature des données dépend d’un certain nombre de facteurs, notamment l’âge, le sexe, la race, l’origine ethnique, la religion, l’orientation sexuelle et l’identité de genre. Certaines méthodes de traitement nécessitent l’utilisation de moyens automatisés pour la collecte, le traitement, le stockage et l’analyse ou la collecte et le stockage d’informations. [Sources : 10,5]

Ils devront également consulter les parties prenantes internes pour déterminer quelle évaluation des facteurs relatifs à la vie privée est requise et quelles ressources et personnes sont nécessaires. Les questions de dépistage permettent de déterminer comment les différents éléments du projet s’intègrent dans le fonctionnement et donnent un aperçu de la portée du traitement des données, des méthodes de traitement, du stockage et de l’analyse des données. [Sources : 5,6,6]

Le processus de consultation est conçu pour couvrir les contacts existants et les clients et employés actuels, ainsi que les nouveaux clients existants et potentiels, et pour recueillir leurs points de vue et opinions. Si l’EFDP implique la collecte de données sur des personnes non identifiées, vous devez effectuer une recherche ciblée. Conservez un dossier complet du processus pour documenter toutes les solutions de protection de la vie privée que vous identifiez et les risques qu’elles veulent aborder, ainsi que les risques que vous acceptez. [Sources : 13,13,6]

Si l’objectif de l’EFDP est lui-même d’identifier en détail les risques élevés, vous devez rechercher d’autres facteurs qui suggèrent qu’il existe un type de traitement susceptible de comporter des risques élevés, comme le traitement de données sur des personnes vulnérables. Pour prendre une décision sur la manière et la raison du traitement de vos informations personnelles et sur la quantité de données collectées, nous devons vous montrer une liste des nouveaux risques évalués par l’EFDP. Nous commençons par une analyse détaillée pour déterminer s’il existe des types de traitement qui entraînent « probablement » des risques plus élevés. Vous n’avez pas besoin que nous recherchions des signaux d’alarme indiquant ce que vous devez faire ou ne pas faire. [Sources : 3,8,13,9]

L’EFDP doit être réalisée pour tout projet de recherche susceptible d’affecter la vie privée des personnes ou l’utilisation de données personnelles. Elle doit être complète pour toutes les initiatives impliquant la collecte, le traitement ou d’autres activités qui pourraient affecter la compétitivité des individus. [Sources : 0,0]

Différentes méthodes peuvent être utilisées pour créer une évaluation des facteurs relatifs à la vie privée et à la protection des données (DPIA) sur la base du cadre DPIA existant et de différents critères pour différents types de traitement. Bien que les lignes directrices suggèrent que dans la plupart des cas, les opérations de traitement répondant à deux critères ou plus sont nécessaires pour une DPIA, il faut garder à l’esprit que le simple fait de remplir l’un de ces critères peut nécessiter une DPIA. La mise en œuvre du DPIPIA dépend du type de traitement, et notamment de l’existence d’un type particulier et/ou d’un traitement susceptible de présenter un risque élevé pour les droits et libertés de la personne. [Sources : 3,9,2]

Sources :

  • [0] : https://www.dur.ac.uk/ig/dp/dpia/
  • [1] : https://seersco.com/articles/articles/data-protection-impact-assessment-dpia/
  • [2] : https://www.dataguidance.com/opinion/eu-how-when-and-why-carrying-out-dpia
  • [3] : https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/data-protection-impact-assessments-dpias/what-is-a-dpia/
  • [4] : https://www.learn4success.co.uk/gdpr
  • [5] : https://hirett.co.uk/gdpr-data-protection-impact-assessment-dpia-template-assessment-requirements-and-stages-evaluate-privacy-solutions-template-for-fca-applications-and-authorised-firms
  • [6] : http://www.dataprotection.ie/en/organisations/know-your-obligations/data-protection-impact-assessments
  • [7] : https://www.privacy.org.nz/privacy-impact-assessment-handbook
  • [8] : https://www.itgovernance.co.uk/blog/gdpr-six-key-stages-of-the-data-protection-impact-assessment-dpia
  • [9] : https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/accountability-and-governance/data-protection-impact-assessments/
  • [10] : http://www.yourhealthcare.org/royal-college-of-speech-and-language-therapists-online-outcome-audit/
  • [11] : https://www.linkedin.com/pulse/users-guide-conducting-risk-analysis-dpia-using-thierry-petitgenet
  • [12] : https://legalvision.com.au/how-do-i-carry-out-a-data-protection-impact-assessment-under-the-gdpr/
  • [13] : https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/data-protection-impact-assessments-dpias/how-do-we-do-a-dpia/