Ce site internet utilise des cookies. Voir notre politique de cookies
Fermer

Analyses d'impact sur la protection des données (DPIA) RGPD

La DPIA (Analyse d'Impact sur la Protection des Données) a pour but d'aider les organisations à identifier, analyser et limiter les risques liés aux activités de traitement des données. Elles sont particulièrement importantes lors de la mise en place de nouveaux systèmes, technologies et procédures de traitement des données.

Les DPIA aident également les organisations à démontrer leur conformité avec le principe de responsabilité du RGPD, en fournissant la preuve que les mesures appropriées ont été mises en place.

Ne pas mener une DPIA en cas de violation de données représente une violation du RGPD et peut engendrer des amendes allant jusqu'à 2% du chiffre d'affaires annuel mondial de l'organisation ou 10 millions d'euros - selon le montant le plus élevé.


Comment IT Governance peut vous aider

Nous proposons une gamme de services DPIA pouvant aider votre organisation à se conformer au RGPD, où que vous en soyez de votre projet RGPD.
Consultez nos produits et services RGPD ci-dessous afin d'en savoir plus, ou contactez notre équipe afin d'obtenir plus d'informations ou de discuter de votre projet plus en détail.

Besoin de conseils sur les DPIAs ou le RGPD ?

Nous proposons une sélection de services de DPIA pouvant aider votre entreprise à se conformer au RGPD. Veuillez contacter notre équipe d’experts RGPD pour obtenir plus d’informations.

Discuter avec l'un de nos experts

Pourquoi mener une DPIA ?

L'article 35 du RGPD indique qu'une DPIA doit être menée lorsque le traitement des données à caractère personnel est susceptible de créer des "risques élevés pour les droits et les libertés des personnes physiques". Les trois conditions identifiées par le RGPD sont :
  • Lorsque les données à caractère personnel sont traitées en vue de prendre des décisions relatives à des personnes physiques spécifiques à la suite d'une évaluation systématique et approfondie d'aspects personnels propres à des personnes physiques sur la base du profilage desdites données.
  • A la suite du traitement de catégories particulières de données personnelles, de données biométriques ou de données relatives à des condamnations pénales et à des infractions, ou encore à des mesures de sûreté connexes.
  • Lorsqu'il s'agit de surveiller à grande échelle des zones accessibles au public, en particulier lorsque des dispositifs opto-électroniques sont utilisés.

Quand une DPIA est-elle nécessaire ?

Une DPIA doit être menée aussi tôt que possible lors d'un nouveau projet afin que les résultats et recommandations puissent être comprises dans la création de la procédure de traitement :

Connu sous le nom de "protection de la vie privée dès la conception" ou "privacy by design", l'intégration des fonctionnalités de confidentialité des données dès les étapes de création du projet peuvent avoir les bénéfices suivants :

  • Les problèmes sont identifiés dès le lancement du projet​.
  • Gérer les problèmes dès le départ s'avère souvent plus facile et plus économique.
  • Cela permet de sensibiliser le personnel sur les sujets de confidentialité et de protection des données.
  • Les organisations sont moins susceptibles d'enfreindre le règlement.
  • Cela permet de limiter les impacts négatifs sur les individus.

Qui doit être impliqué dans une DPIA ?

Les responsables du traitement doivent s'assurer que les DPIA sont menées correctement.

Les DPIA doivent être menées par des personnes ayant l'expertise et les connaissances appropriées sur le projet en question, en général il s'agit de l'équipe de projet. Si votre organisation ne dispose pas du personnel ayant l'expertise et l'expérience suffisante, vous pouvez demander l'aide de spécialistes en externe qui pourront vous aider avec votre DPI ou avec vos audits.

Selon le RGPD, toute organisation ayant désigné son DPO (délégué à la protection des données) doit suivre ses conseils. Les conseils et décisions prises doivent être documentées dans le processus de la DPIA.


Exemples de traitement des données personnelles nécessitant une DPIA

  • Un hôpital traitant les données génétiques et de santé de ses patients.
  • Archiver les données sensibles pseudonymisées d'un projet de recherche ou d'essais cliniques.
  • Une organisation utilisant un système d'analyse vidéo intelligent afin de distinguer des voitures et de reconnaitre automatiquement leur plaque d'immatriculation.
  • Une entreprise contrôlant de manière systématique les activités de ses employés, y compris leur poste de travail et activités internet.
  • La collecte de données publiques sur les réseaux sociaux afin de créer des profiles.
  • Une institution créant une base de données sur les fraudes.

L'Article 29 du Working Party UE (WP29), dans ses directives sur les DPIA, indique les critères à prendre en compte lorsqu'une organisation détermine les risques liés aux opérations de traitement. Plus l'activité de traitement répond à ces critères, plus elle représente un risque élevé pour les droits et libertés des individus et requière alors une DPIA.


Les éléments clés d'un DPIA réussie

Le RGPD ne précise pas quel procédure de DPIA doit être suivie mais permet aux organisations de mettre en place un cadre de travail correspondant à leurs activités existantes. 

Les éléments clés d'une DPIA réussie sont :

  • Identifier si la DPIA est nécessaire ;
  • Définir les caractéristiques du projet afin de permettre l'évaluation des risques ;
  • Identifier les risques liés à la protection des données ;
  • Identifier les solutions de protection des données permettant de limiter ou d'éliminer les risques ;
  • Valider les résultats de la DPIA ;
  • Intégrer les solutions de protection des données au projet.

Lorsque vous décider de lancer votre projet de mise en conformité avec le RGPD, il est important de déterminer si vous avez à votre disposition les formations, les ressources et l'expertise nécessaires afin de répondre aux exigences du DPIA. IT Governance Europe peut vous aider à faire face à vos faiblesse grâce à ses kits de documentations et services de conseil.


Nos solutions:

Lors du lancement d’une DPIA dans le cadre de votre projet de mise en conformité avec le RGPD, il est important d’identifier les ressources, expertises et formations à votre disposition afin de répondre aux exigences. Les formations et services de conseil IT Governance peuvent vous aider à combler les écarts de conformité avec le RGPD.

Kit de documentations RGPD

Le kit de documentations RGPD leader sur le marché vous fournit un ensemble complet de documents-types faciles-à-utiliser et personnalisables ayant pour but de vous aider à vous conformer au RGPD. 


Discuter avec l’un de nos experts

Merci de contacter notre équipe pour discuter de votre projet plus en détail ou obtenir plus d’informations.