RGPD : En quoi consiste l'analyse d'impact et quand est-elle obligatoire ? | Agoria

RGPD : En quoi consiste l'analyse d'impact et quand est-elle obligatoire ?

Image
Publié le 06/09/21 par Thomas Van Gremberghe
Vous surveillez vos travailleurs par caméras ou vous contrôlez leur utilisation internet ? Vous évaluez vos prospects à l'aide de technologies innovantes ? Vous enrichissez vos databases avec des données provenant de sources externes (par exemple, les courtiers en données) ? Vous développez des apps qui traitent des données (sensibles et/ou de santé) ? Faites une analyse d'impact relative à la protection des données (AIPD) afin d'être sûr de vous conformer au RGDP et de respecter la vie privée. Même les petites organisations ne peuvent y échapper.

Le règlement général sur la protection des données (RGPD) impose aux entreprises (quelle que soit leur taille) de procéder à une analyse d'impact relative à la protection des données (AIPD) si un traitement particulier remplit certaines conditions. 

Quand l'AIPD est-elle obligatoire ?

  • L’évaluation systématique et approfondie d'aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l'égard de ces personnes
  • Le traitement à grande échelle de catégories particulières de données à caractère personnel ou de données relatives à des condamnations pénales et à des infractions
  • La surveillance systématique à grande échelle de zones accessibles au public

Comment déterminer votre risque ?

Le Comité européen de la protection des données (CEPD) a défini différents critères (ou risques) pour évaluer si un traitement comporte un risque élevé pour les droits des personnes. Dès l’instant où deux ou plusieurs critères sont remplis, il est obligatoire, selon le CEPD, de procéder à une AIPD. Voici certains de ces critères :

  • l'évaluation de personnes 
  • la surveillance systématique 
  • le traitement de données à grande échelle 
  • l’utilisation innovante 
  • Etc.

Que doit contenir votre AIPD ?

L'analyse d'impact relative à la protection des données (AIPD) doit contenir les 4 éléments suivants :

  • la description systématique des opérations de traitement envisagées et des finalités du traitement
  • l'évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités 
  • l'évaluation des risques pour les droits et libertés des personnes concernées 
  • les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel

Toutefois, de nombreuses questions subsistent...

La mise en œuvre d'une analyse d'impact relative à la protection des données (AIPD), ou Data Protection Impact Assessment (DPIA), soulève encore de nombreuses questions parmi les entreprises, car elle est et reste relativement méconnue et très abstraite :

  •     Quand une AIPD est-elle vraiment nécessaire ?
  •     Qui doit réaliser une AIPD ?
  •     Comment déterminer si un traitement est proportionnel et nécessaire ?
  •     Quel est l'impact du traitement envisagé ?
  •     Comment évaluer les risques du traitement ?
  •     Comment limiter les risques ?
  •     Quel est le rôle de l’Autorité de protection des données dans l’AIPD ?
En collaboration avec le secteur des télécommunications, Agoria a élaboré un cadre comprenant différents éléments pratiques pour la réalisation d'une AIPD complète et de qualité.

Agoria organise également une Agoria Academy sur l’AIPD le 18 novembre 2021 de 9 à 12h30, au cours de laquelle vous recevrez une formation approfondie pour pouvoir réaliser vous-même ces analyses.
Cet article était-il utile ?