Qu'est-ce que le PIA ? Dois-je en faire un ?

Comment identifier les traitements soumis à une AIPD

Selon le Comité européen de la protection des données (CEPD), la rédaction d’une AIPD est obligatoire lorsque 2 critères sont remplis parmi la liste ci-dessous.

À l’inverse, une analyse d’impact n’est pas requise pour certains types d’opérations, à savoir notamment :

• le traitement suppose la collecte de données personnelles à grande échelle ;
• le traitement suppose un croisement des données ;
• le traitement suppose une surveillance systématique ;
• le traitement suppose une évaluation (scoring, profilage) ;
• le traitement est basé sur une décision automatique ;
• le traitement suppose la collecte de données sensibles ou à caractère hautement personnel (numéro de carte bancaire…) ;
• le traitement suppose la collecte de données des personnes vulnérables ;
• le traitement suppose l’utilisation d’une technologie innovante ;
• le traitement a pour effet l’exclusion du bénéfice d’un droit ou d’un contrat (listes noires…).

Traitements non soumis à une AIPD

• les traitements mis en oeuvre à des fins de ressources humaines ;
• les traitements mis en oeuvre par les avocats dans le cadre de l’exercice de leur profession à titre individuel ;
• les traitements de gestion de la relation fournisseurs.

Méthodologie

On distingue 4 étapes principales : l’étude du contexte, l’étude des principes fondamentaux attachés au traitement des données, l’étude des risques engendrés par le traitement et la validation de l’analyse.

Cette dernière se formalise par le positionnement des risques entre eux, c’est-à-dire avant et après l’application des mesures complémentaires.