RGPD : Ce que vous devez savoir sur la DPIA

L’article 35 du Règlement Général Européen sur la Protection des Données (RGPD) introduit le concept d’Analyse d’Impact sur la Protection des Données (DPIA).

L’Analyse d’Impact sur la Protection des Données identifie et minimise les risques liés aux activités de traitement des données personnelles. Elle est essentielle si vous traitez des données personnelles à haut risque, mais elle est également pertinente en cas de mise en place de nouveaux processus, systèmes ou technologies de collecte des données.

Une DPIA efficace garantie la sécurité de vos systèmes, vous permettant ainsi d’atteindre un bon niveau de conformité et vous apportant des bénéfices financiers et de réputation.

 

Quand la DPIA est-elle requise ?

Le RGPD indique que les DPIA doivent être menées lorsque le traitement des données est « susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique ». Il ne définit pas la notion de « risque élevé », mais fait référence à l’utilisation de :

  • Profilage systématique et exhaustif ;
  • Catégorie spéciale de données ou données liées à un délit pénale à grande échelle ; et
  • Contrôle systématique de lieux accessibles au public à grande échelle.

L’article 29 du Working Party a fourni des conseils détaillés concernant le nécessité de mener une DPIA.

Il y a également des activités pour lesquelles une DPIA n’est pas obligatoire mais très bénéfique. Par exemple, lors de la mise en place de nouvelles technologies de traitement des données, de services de profilage ou de services ciblant des mineurs, ou traitant des données pouvant compromettre la santé physique des individus.

Une DPIA doit être menée le plus tôt possible puisque ses conclusions et recommandations peuvent être utilisées lors de la création des procédures de traitement des données. Vous n’avez peut-être pas encore décidé de ce à quoi ressembleront vos activités de traitement des données, mais cela ne devrait pas justifier le report de cette analyse.

Traiter des données à haut risque sans avoir mené de DPIA constitue une violation du RGPD et pourrait engendrer des mesures disciplinaires, telles que des amendes élevées.

 

Comment mener une DPIA

Le RGPD ne précise pas comment une analyse d’impact sur la protection des données doit être menée mais donne aux entreprises la liberté de mettre en place un cadre complétant leurs pratiques existantes. Néanmoins, certaines étapes sont essentielles :

  1. Déterminer si la DPIA est nécessaire.
  2. Décrire la portée du traitement des données ainsi que les flux de données au sein de l’organisation.
  3. Evaluer si certains des éléments du traitement sont superflus ou excessifs.
  4. Identifiez et évaluez les risques liés aux données personnelles.
  5. Validez et enregistrez les résultats de l’évaluation.
  6. Créez un plan de protection des données basé sur vos résultats.
  7. Revoir l’efficacité du plan.

 

Obtenir de l’aide pour votre DPIA

Du fait de l’importance de l’Analyse d’Impact sur la Protection des Données, le RGPD comprend des dispositions afin d’aider les entreprises. Par exemple, il indique que le délégué à la protection des données (DPD) doit fournir des conseils quant aux processus à suivre. Bien que seules quelques organisations aient l’obligation d’en nommer un, il est parfois bénéfique de disposer de l’aide d’une DPD.

Les conseils de votre DPD ainsi que les décisions prises suite à ses directives doivent être documentées dans le cadre des procédures de votre DPIA.

De plus, vous devez demander conseil à votre autorité de contrôle si vous identifiez un risque que vous ne pouvez pas limiter. L’autorité vous fournira ses conseils par écrit. Mais, dans le cas où il n’y aurait aucune solution réalisable, l’autorité pourrait vous mettre en garde contre le traitement des données ou tout simplement vous interdire de les traiter.

Il pourrait également être bénéfique de suivre une formation dédiée au DPIA. Si vous avez déjà suivi une formation RGPD, vous savez qu’elles vous permettent d’acquérir de bonnes connaissances sans pour autant aborder l’Analyse d’Impact sur la Protection des Données très en détail. Si vous souhaitez mener une DPIA, une formation spécialisée vous sera nécessaire.

Nos ateliers DPIA (en Anglais) répondent à ce besoin, grâce à une formation d’une journée sur les procédures d’analyse. Vous en saurez plus sur :

  • Les principes d’une DPIA ;
  • Les exigences légales d’une DPIA ;
  • Comment mener une DPIA ;
  • Définir si les risques sont acceptables ;
  • Comment développer une procédure de DPIA ;
  • Comment créer et mettre en place des processus plus efficaces ;
  • Comment contrôler les résultats et savoir quand prendre des mesures ;
  • Comment suivre les résultats et évaluer les mesures correctives appropriées ;
  • Pourquoi et comment mener un exercice de cartographie des flux de données.

Manifestez votre intérêt pour notre atelier DPIA >>

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.