Découvrez nos solutions sans obligation d’achat
Dans cet article : dans quels cas une DPIA est requise et quelques conseils pratiques à suivre pour réaliser cet important exercice de conformité. Est-elle obligatoire, conseillée ou non. Dans l’article : une liste de conseils pratiques que vous devez prendre en compte avant de l’effectuer. Avant de lancer un DPIIA, il est important de déterminer si vous disposez des informations nécessaires pour répondre aux exigences. Tout ce que vous avez à faire est de répondre à une question de dépistage rapide et vous êtes prêt à partir. Sources : 6,3,17]
Plus les critères sont nombreux, plus il est probable que le traitement présente un risque élevé pour les droits et libertés individuels et qu’il nécessite donc une EFDP. Plus le nombre de critères mentionnés est important et plus le risque d’atteinte à la vie privée et à la liberté d’expression est élevé, moins il est probable que vous devez effectuer une EFDP, à moins que le traitement ne comporte plus de critères que ceux mentionnés. Sources : 7,14]
Le GDPR ne définit pas un « risque élevé » de traitement et signifie « probablement un risque élevé ». L’article 35 (3) décrit trois scénarios qui déclenchent automatiquement la nécessité d’une DPIA. Le GDPR ne signifie pas, mais ne définit pas, le résultat probable d’un risque élevé, ni ne définit le traitement des risques élevés. Sources : 17,6]
Dans ce cas, le GDPR indique qu’une DPIA doit être mise en œuvre, mais elle peut s’avérer être un outil utile dans d’autres cas. [Sources : 13]
Dans d’autres cas, il peut être utilisé pour identifier les lacunes potentielles en matière de conformité et aider à respecter les obligations prévues par le GDPR. Dans les cas où il n’est pas clair si une EFDP est obligatoire, sa mise en œuvre est un outil utile pour aider les contrôleurs de données à se conformer aux lois sur la protection des données, mais en aucun cas la mise en œuvre d’une EFDP n’est obligatoire. Si l’on vous demande d’évaluer si une EFDP est nécessaire ou non, ou de préparer une EFDP appropriée, parlez-en. Les organisations devraient mettre en place un processus DPIA non seulement pour évaluer quand il est nécessaire ou recommandé, mais aussi pour le mettre en œuvre efficacement et en appliquer les résultats. [Sources : 8,15,6,11]
Dans certains cas, la mise en œuvre d’une EFDP n’a pas besoin d’être complexe ou de prendre du temps, mais vous devez être conscient des risques pour la vie privée qui peuvent survenir, comme le potentiel de perte de données ou de perte due à un accès non autorisé ou à une mauvaise utilisation. [Sources : 21]
Pour démontrer leur conformité avec le GDPR et ses exigences, les organisations doivent préparer un GDPR pour les activités de traitement des données à haut risque, comme le prévoit le GDPR lui-même. L’autorité de surveillance nationale (AS) est tenue de déterminer et d’évaluer si l’activité de traitement nécessite ou non une EFDP. Bien que la plupart des opérations de traitement ne requièrent pas une telle évaluation, l’AS affirme qu’il n’est pas facile de définir les cas où le DPIA est requis ou non. Sources : 12,16,20]
Si le traitement est effectué dans le cadre des procédures mentionnées dans la liste et qu’il continue à répondre à toutes les exigences pertinentes, une DPIA n’est pas requise. Par conséquent, 14 des lignes directrices de l’Art29WP étaient ne causeront pas de problèmes conformément au GDPR et ne sont donc pas nécessaires pour que le contrôleur mette en œuvre un DPIA. Si le DPIPA n’est » pas nécessaire » le 25 mai 2018, il est néanmoins nécessaire que les contrôleurs mettent en œuvre le DPIA dès que possible, au plus tard le 30 juin 2018. Sources : 5,2]
Si votre entreprise est responsable du RGPD, vous devrez peut-être mettre en œuvre un RGPD avant de réaliser des projets de traitement des risques. Si votre organisation a déjà commencé à traiter de nouvelles données personnelles (SCD) sans effectuer une EFDP, elle doit le faire dès que possible, car ces activités de traitement sont susceptibles de déclencher l’exigence d’une EFDP obligatoire. Une autre exigence obligatoire du GDPR est la mise en œuvre la plus rapide possible d’un processus risqué avec une DIPIA. Pour les entreprises responsables d’un RGPD, elles peuvent être amenées à effectuer le DPIPA avant de réaliser toute activité de traitement considérée comme à haut risque. Sources : 4,18,18,13]
Les lignes directrices suggèrent qu’un DPIA n’est nécessaire que si deux ou plusieurs des critères suivants sont remplis, alors qu’un seul d’entre eux pourrait nécessiter un DIPIA. Bien que cela ne doive être qu’une règle empirique, le GDPR peut être réalisé si un traitement répond à deux critères que le GDPR considère comme pertinents pour évaluer s’il doit être réalisé ou non. Bien que, dans la plupart des cas, les lignes directrices suggèrent que les opérations de traitement répondant à deux critères ou plus doivent faire l’objet d’une DPIA, il convient de garder à l’esprit que le fait de ne répondre qu’à un seul critère peut entraîner un risque accru et peut tout de même nécessiter la mise en œuvre de la DPIPA. Sources : 1,8,9]
En cas de doute sur la nécessité d’une DPIA, il est sage de pécher par excès de prudence et de mener une DIPIA. Si le responsable du traitement des données n’est pas sûr que la DPIPA soit nécessaire, la meilleure option est de minimiser votre charge légale lorsque vous en effectuez une. Sources : 13,0]
Il est important de se rappeler que dans le cadre de la DPIA, vous n’êtes pas obligé d’éliminer le risque du traitement. Il convient de noter que la simple utilisation d’une nouvelle technologie ne doit pas être considérée en soi, mais doit être envisagée en conjonction avec d’autres domaines. Sources : 10,19]
Sources :
[0] : https://www.dataguidance.com/opinion/eu-how-when-and-why-carrying-out-dpia
1] : https://www.schirrerwalster.lu/guidelines-on-data-protection-impact-assessment-for-the-purposes-of-gdpr-2/
2] : https://lawandtech.eu/en/2019/03/27/the-data-protection-impact-assessment-under-the-gdpr/
[3] : https://www.itgovernance.eu/da-dk/gdpr-data-protection-privacy-impact-assessments-dk
[4] : https://www.whitecase.com/publications/alert/covid-19-and-data-protection-compliance
[6] : https://www.fieldfisher.com/en/services/privacy-security-and-information/privacy-security-and-information-law-blog/data-protection-impact-assessments-%E2%80%93-what-when-an
[7] : https://www.taylorvinters.com/article/five-things-need-know-data-protection-impact-assessments
[8] : https://www.shlegal.com/insights/article-29-data-protection-working-party-gdpr-guidelines-on-data-protection-impact-assessments
[9] : https://normcyber.com/advisory-notes/data-protection-impact-assessment/
[10] : https://www.itpro.com/general-data-protection-regulation-gdpr/how-to-perform-a-data-protection-impact-assessment
[11] : https://www.nuigalway.ie/data-protection/staffandstudentresources/dataprotectionimpactassessments/
[12] : https://seersco.com/articles/articles/data-protection-impact-assessment-dpia/
[13] : https://www.keele.ac.uk/informationgovernance/fortheuniversity/dataprotection/privacybydesign/dataprotectionimpactassessments/
[14] : https://www.itgovernanceusa.com/gdpr-data-protection-impact-assessments-dpias
[15] : https://globaldatahub.taylorwessing.com/article/dpias-under-the-gdpr
[16] : https://legalict.com/2019/04/10/when-is-a-dpia-mandatory-according-to-the-belgian-data-protection-authority/
[17] : https://www.itgovernance.co.uk/blog/gdpr-six-key-stages-of-the-data-protection-impact-assessment-dpia
[18] : https://legalvision.com.au/how-do-i-carry-out-a-data-protection-impact-assessment-under-the-gdpr/
[19] : https://www.compliancejunction.com/high-high-risk-gdpr/
[20] : https://gdprinformer.com/gdpr-articles/impact-assessments-guide
[21] : https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/data-protection-impact-assessments-dpias/what-is-a-dpia/