Une analyse d’impact relative à la protection des données

Une analyse d’impact sur la protection des données
(DPIA-Data Protection Impact Assessment)

En premier lieu, le DPIA est obligatoire pour les traitements susceptibles d’engendrer des risques élevés pour la vie privée. Une fois que l’on a bien identifié le type de traitement, on pourra mener un DPIA. Commençons par examiner l’analyse d’impact repose sur 2 grands piliers :

  • Faire un rapprochement entre les principes fondamentaux du RGPD et les traitements effectués : finalités du traitement, durée de conservation des données, devoir d’information…
  • Aussi analyse des risques portant sur la sécurité des données (condition d’accès, disparition de données, impact sur la vie privée…), pour faciliter la mise en place de mesures techniques efficaces pour protéger les données.
analyse d'impact dpia

Quels sont les intervenants dans un DPIA ?

Responsable de traitement

C'est celui qui devrait mener un DPIA. Donc, s’il a désigné un DPO, le responsable devra demander conseil auprès de ce dernier pour vérifier la bonne exécution du DPIA.

CISO - MIS

Le responsable de la sécurité des systèmes d'information d'une organisation est l'expert qui garantit la sécurité, la disponibilité et l'intégrité du système d'information et des données.

DPO

Le Data Protection Officer a un rôle de conseil et a la charge de vérifier l’exécution de l'AIPD. En effet, la responsabilité n'en incombe pas au DPO interne ou externe.

DPIA rgpd dpo

Dans quel cas un DPIA
est obligatoire ?

Un traitement devra faire l’objet d’un DPIA quand il est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes. De plus, il sera également obligatoire lorsqu’il remplira l’un des 2 critères suivants :

  • Traitement portant sur des personnes fragiles ou vulnérables (enfants, malades…) .
  • En utilisant une nouvelle technologie .
  • Traitement aboutissant à l’exclusion du bénéfice d’un droit ou d’un contrat .
  • Evaluation (profilage, scoring…) .
  • Basé sur une décision purement automatique pouvant entrainer des effets juridiques. 
  • Surveillance à grande échelle et systématique (une entreprise qui surveille ses salariés).;
  • Manipulation de données sensibles.
  • Collecte de données sur une cible très large.
  • Croisement de données.

J'ai besoin d'aide