Les lignes directrices du RGPD sur l’évaluation d’impact sur la protection des données

L’évaluation d’impact sur la protection des données (DPIA) est un outil ayant pour but d’aider les organisations à mettre en place des systèmes de traitement des données conformes au Règlement Général Européen sur la Protection des Données (RGPD) et qui seront obligatoires pour certains types de traitements.

Ne pas réaliser ou mal-réaliser cette évaluation ou ne pas contacter une autorité de surveillance quand nécessaire, des suites d’un DPIA, peut engendrer des amendes allant jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires mondial – selon le montant le plus élevé.

L’Article 29 du Groupe de Travail de l’UE (WP29) à récemment publié ses projets de directives ayant pour but de clarifier les situations lors desquelles l’évaluation d’impact sur la protection des données est nécessaire et comment elle doit être appliquée.

Vous trouverez ci-dessous un résumé des points clés des directives :

 

Quelles opérations de traitement sont soumises à l’évaluation d’impact sur la protection des données ?

Une évaluation d’impact sur la protection des données est seulement obligatoire si le traitement « est susceptible d’entraîner un risque élevé vis-à-vis des droits et libertés des personnes concernées ».  Au moment de déterminer si le traitement est susceptible d’entraîner un risque élevé, les directives proposent de prendre en compte les critères suivants :

  1. Evaluation ou notation, y compris le profilage
  2. Prise de décision automatisée
  3. Surveillance systématique des individus
  4. Traitement de données sensibles
  5. Traitement de données à grande échelle
  6. Fichiers de données ayant été jumelé ou combinés
  7. Données de personnes concernées vulnérables
  8. Utilisation innovante ou application de solutions technologiques ou organisationnelles
  9. Transfert de données avec des pays en dehors de l’Unions Européenne
  10. Lorsque le traitement lui-même « empêche les personnes concernées d’exercer un droit ou d’utiliser un service ou un contrat »

Les directives indiquent que, en tant que principe de base, les opérations de traitement des données qui répondent à au moins deux des critères requièrent une évaluation d’impact sur la protection des données.

 

Comment mener une évaluation d’impact sur la protection des données ?
Les directives mettent en avant que l’évaluation d’impact sur la protection des données doit être menée en amont du traitement et recommande de suivre une approche de « confidentialité dès la conception » – en commençant tôt et en mettant à jour l’évaluation d’impact sur la protection des données – et de traiter l’évaluation d’impact sur la protection des données comme un processus continu et non une mesure ponctuelle.

Une évaluation d’impact sur la protection des données peut être effectué par une autre personne, mais l’organisation demeure responsable de la tâche. Cela s’applique également lors la sous-traitance du traitement des données par un fournisseur de service. Une organisation doit également rechercher le conseil d’un délégué à la protection des données (DPD), lorsqu’il a été nommé, et si approprié consulter les avis des personnes concernées en ce qui concerne le traitement.

 

Méthodologie d’évaluation d’impact sur la protection des données
The RGPD ne précise pas quel processus d’évaluation d’impact sur la protection des données doit être suivi. Il y a un certain nombre de processus différents établis dans l’UE et les directives font la liste de certains exemples :

Royaume-Uni :  ICO

Allemagne : Datenschutzzentrum

France : CNIL

Espagne : AGPD

Démarrez votre projet de conformité au RGPD

L’outil d’évaluation des écarts de conformité avec le RGPD fournit une solution rapide d’évaluation de la situation actuelle de votre organisation contre le RGPD afin de vous permettre de planifier et de prioriser votre projet de conformité.

GDPR Gap Assessment Tool

En savoir plus

Leave a Reply

Your email address will not be published. Required fields are marked *