En vertu de la nouvelle réglementation européenne sur la protection des données (GDPR), les responsables de traitement ne devront plus notifier les Autorités de protection des données de leurs activités de traitement.
En revanche, ils devront garder un registre détaillé de toutes leur activité de traitement (voir ici pour plus de détails sur le registre) et, dans certains cas, les responsables de traitement devront également effectuer une évaluation d’impact de la protection des données lorsque le traitement présente un risque élevé pour la protection des données.
Une analyse d’impact sur la protection des données (« data protection impact assessment » ou DPIA) est un processus conçu pour décrire le traitement, évaluer la nécessité et la proportionnalité d’un traitement et aider à gérer les risques pour les droits et libertés des personnes physiques résultant du traitement des données personnelles
1.Qui doit effectuer DPIA?

Selon les dispositions du GDPR, il appartient aux responsables de traitement d’effectuer un DPIA lorsque leurs activités de traitement de données nécessitent de le faire.

Un DPIA devrait être effectuée avec l’aide du délégué à la protection des données (voir les missions de DPO) lorsque le responsable de traitement en a nommé un et le sous-traitant si un sous-traitant est impliqué dans le traitement de données concerné.

2. Quel traitement de données est soumis à DPIA?

2.1. selon le règlement (GDPR)

Tous les traitements de données ne sont pas soumis à un DPIA. Conformément à l’article 35 du GDPR, un DPIA doit être effectué lorsqu’un type de traitement peut entraîner un risque élevé pour les droits et libertés des personnes physiques et plus particulièrement lors de l’utilisation nouvelles technologies.

Il sera notamment requis dans les cas suivants:

• Évaluation systématique et approfondie des aspects personnels relatifs aux personnes physiques qui repose sur le traitement automatisé, y compris le profilage et sur lesquelles les décisions sont fondées qui produisent des effets juridiques ou affectent de manière significative la personne physique (marquage, etc.)

• Traitement sur une grande sacale de catégories spéciales de données ou concernant des condamnations et des infractions pénales

• Surveillance systématique d’une zone accessible au public à grande échelle

Tout traitement de données effectué avant mai 2018 ne sera pas soumis aux dispositions relatives au DPIA. Cependant, il est fortement recommandé d’effectuer un DPIA car il devrait être effectué en cas de modification du risque représenté par les opérations de traitement et, dans tous les cas, il  devrait être revu au minimum tous les trois ans selon le G29.

2.2. Recommandations des autorités

Les autorités chargées de la protection des données de chaque État membre devraient publier une liste des traitements des données devant faire l’objet d’une évaluation. La liste peut varier d’un pays à l’autre, mais le G29 a récemment publié une directive fournissant des critères permettant de déterminer quels traitements seront soumis à un DPIA.
Même si cela ne remplace pas la liste officielle que chaque Autorité de protection des données publiera, selon le G29, en règle générale si un traitement répond à au moins deux des critères listés ci-après, un DPIA devrait être effectué.

Il convient de noter que ce n’est pas une règle stricte, parfois un seul critère peut être suffisant et dans d’autres cas un traitement répondant à plus de deux critères pourrait ne pas représenté de risque très élevés.

Afin de déterminer quand un traitement risque d’entraîner un risque élevé, les critères suivants devraient être pris en considération:

  • Évaluation et notation (performance au travail, symposion économique, préférence personnelle, localisation, etc.)
  • Prise de décision automatisée ayant des effets juridiques ou similaires (en particulier si elle entraîne l’exclusion ou la dissémination envers les individus) (des explications supplémentaires seront fournies dans les guileines G29 sur le profilage).
  • Suivi systématique de la personne concernée
  • Données sensibles (voir articles 9 et 10 du GDPR): elles doivent être traitées systématiquement ou à grande échelle
  • Données traitées à grande échelle (nombre de personnes concernées, volume de données, durée de l’activité de traitement, étendue géographique)
  • Ensembles de données qui ont été combinés ou croisés (d’une manière qui dépasse les attentes raisonnables de la personne concernée)Données concernant les personnes vulnérables (déséquilibre accru entre la personne concernée et le responsable du traitement des données: employés, enfants, population nécessitant une protection spéciale (malades mentaux, demandeurs d’asile, personnes âgées, patients …)
  • Utilisation innovante ou application de solutions techonologiques ou organisationnelles
  • Transfert de données en dehors de l’Union européenne: en prenant en compte le pays tiers, la possibilité de transferts ultérieurs ou la possibilité de transferts en fonction de dérogations
  • Le traitement peut exclure les personnes concernées de l’exercice d’un droit ou des bénéfices d’un service ou d’un contrat.

2.3. Exceptions aux règles de mise en oeuvre d’un DPIA

 

Il n’est pas nécessaire d’effectuer un DPIA dans les cas suivants :

  • La probabilité est faible pour que le traitement de données engendre un risque élevé pour les droits et libertés des personnes physiques
  • Le traitement est très similaire à un traitement pour lequel un DPIA a été effectué
  • Les opérations de traitement ont une base légale dans l’UE et un DPIA a été réalisé dans le cadre de l’adoption de cette base légale
  • Le traitement est inclus dans la liste optionnelle à publier par chaque Autorité de protection des données (il peut contenir tout paquet de conformité, autorisation générale déjà donnée par les autorités au niveau national).
  • Les Traitements mis en œuvre avant mai 2018 si aucun changement n’a été mise en oeuvre ou qu’il n’y a pas de changement au niveau du risque. (le DPIA est toutefois recommandé).

 

3. Contenu et portée de l’évaluation de l’impact de la vie privée:

Une évaluation unique peut concerner un ensemble de traitements similaires présentant le même type de risques.

Il incombe au responsable de traitement de déterminer l’importance et la forme du DPIA, mais un DPIA devrait inclure a minima les informations suivantes:

  • Description systématique des opérations de traitement envisagées
  • Les objectifs et, le cas échéant, l’intérêt légitime poursuivi par le responsable de traitement/ nécessité et proportionnalité du traitement
  • Évaluation des risques pour les droits et libertés des personnes concernées
  • Mesures envisagées pour traiter les risques, y compris les garanties, les mesures de sécurité et les mécanismes pour assurer la protection des données personnelles et pour démontrer la conformité au GDPR

Voici des liens vers des modèles de DPIA publié par des autorités Européeenes

DE: Standard Data Protection Model, V.1.0 – Version d’évaluation, 2016.

ES: Agencia española de la protecion de los datos (AGPD), 2014. 

FR: Évaluation des incidences sur la vie privée (PIA), Commission Nationale de l’informatique et des libertés (CNIL), 2015.

Royaume-Uni: Réalisation d’un code de pratique sur l’évaluation des impacts sur la vie privée, Commissariat à l’information (OIC), 2014.

4.Que faire lorsqu’il n’est pas possible d’atténuer le risque (consultation préalable)

Lorsqu’une évaluation d’impact sur la protection des données indique que le traitement impliquent un risque élevé que le responsable de traitement ne peut pas atténuer par des mesures appropriées en termes de technologie disponible et de coûts de mise en œuvre, une consultation de l’autorité de contrôle devrait avoir lieu avant la mise en oeuvre du traitement.

De plus, une consultation préalable peut être requise en vertu de la législation des États membres lorsque le responsable de traitement effectue un traitement de données dans l’intérêt public, y compris la protection sociale et la santé publique.

En pratique, nous pourrions penser que toute personne qui ne peut pas atténuer un risque élevé pour la protection des données personnelles traitées ne devrait pas commencer à effectuer le traitement des données. Par conséquent, la consultation préalable devrait rester très rare en dehors du périmètre des exigences légales spécifiques.

Partage

Analyse d’impact relatives à la protection des données (AIPD)
Étiqueté avec :            

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *