Bureau H.

Conseil en protection des données personnelles

L’abbréviation DPIA ( Data Protection Impact Assessment) renvoie à l’analyse d’impact relative à la protection des données (AIPD). Le Règlement général sur la protection des données (RGPD) impose sa rédaction dans certains cas notamment si le traitement envisagé présente un risque élevé pour les droits et libertés des personnes.

Comment identifier les traitements soumis à une AIPD ?

Fort heureusement, il existe des indices assez précis.

Selon le Comité européen de la protection des données (CEPD), la rédaction d’une AIPD est obligatoire lorsque 2 critères sont remplis parmi la liste ci-dessous :

  • le traitement suppose la collecte de données personnelles à grande échelle ;
  • le traitement suppose un croisement des données ;
  • le traitement suppose une surveillance systématique ;
  • le traitement suppose une évaluation (scoring, profilage) ;
  • le traitement est basé sur une décision automatique ;
  • le traitement suppose la collecte de données sensibles ou à caractère hautement personnel (numéro de carte bancaire …) ;
  • le traitement suppose la collecte de données des personnes vulnérables ;
  • le traitement suppose l’utilisation d’une technologie innovante ;
  • le traitement a pour effet l’exclusion du bénéfice d’un droit ou d’un contrat (listes noires …).

À l’inverse, une analyse d’impact n’est pas requise pour certains types d’opérations, à savoir notamment :

  • les traitements mis en oeuvre à des fins de ressources humaines ;
  • les traitements mis en oeuvre par les avocats dans le cadre de l’exercice de leur profession à titre individuel ;
  • les traitements de gestion de la relation fournisseurs.

Rédaction d’une AIPD : comment s’y prendre ?

On distingue 4 étapes principales : l’étude du contexte, l’étude des principes fondamentaux attachés au traitement des données, l’étude des risques engendrés par le traitement et la validation de l’analyse. Cette dernière se formalise par le positionnement des risques entre eux, c’est-à-dire avant et après l’application des mesures complémentaires.

Même si un traitement n’est pas soumis à une AIPD, il doit dans tous les cas respecter impérativement les principes de protection des données et les droits des personnes fichées.

Et vous ? Où en êtes-vous dans la mise en conformité au RGPD ?

Je veux être audité !