ANALYSE D'IMPACT SUR LA PROTECTION DES DONNÉES (AIPD)

Les analyses d'impact sur la protection des données (DPIA) sont obligatoires en présence de traitements susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes.

L'AIPD RÉPOND À L'ÉCHELLE DES RISQUES

Besoin d'aide 

L'analyse d'impact crée un effet de loupe sur le processus habituel de validation des traitements, il s'agit d'un passage à l'échelle au regard des risques rencontrés.

Une analyse d’impact relative à la protection des données (AIPD) dont en effet être réalisée dans quatre catégories de situations au regard des dispositions du RGPD qui nécessitent pour les responsables de traitement de documenter spécifiquement leur conformité avec l'aide des sous-trairants :

  • Lorsqu'un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de sa nature, de la portée, de son contexte et de ses finalités, est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques

  • En cas d'évaluation systématique et approfondie d'aspects personnels concernant des personnes physiques, qui serait fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle seraient prises des décisions produisant des effets juridiques à l'égard d'une personne physique ou l'affectant de manière significative de façon similaire

  • En cas de traitement à grande échelle de catégories particulières de données (Au sens du RGPD) ou de données à caractère personnel relatives à des condamnations pénales et à des infractions au sens du RGPD

  • En cas de surveillance systématique à grande échelle d'une zone accessible au public

L'analyse d'impact du RGPD constitue par conséquent l'une des briques essentielles d'un programme de conformité. Les différentes thématiques de l'analyse d'impact sont en réalité le reflet de la capacité du responsable de traitement et du sous-traitant à structurer la conformité. L'analyse de la sécurité des traitements constitue l'un des aspects centraux de l'AIPD.

Les autorités de contrôle publient en coordination avec le comité européen à la protection des données (EDPD) une liste de situations complémentaires nécessitant la réalisation d'une analyse d'impact, ainsi qu'une liste des cas qui ne requièrent pas une AIPD. Les responsables de traitements relevant de la CNIL en France doivent intégrer le référentiel AIPD de l'autorité de contrôle.

LES POINTS A RETENIR :

Il convient d'intégrer dans l'outillage de la conformité au RGPD des mécanismes permettant de faciliter la réalisation des AIPD,

  • La réalisation des AIPD obéit à un processus de travail et d'organisation méthodique et pluridisciplinaire

  • Le logiciel PIA de la CNIL constitue un outil indispensable

  • Les catalogues de bonnes pratiques fournis par l'autorité de contrôle permettent de traiter les risques

  • Les analyses des traitements réalisées en continue doivent comporter une check-list liée aux IAPD 

  • Les points de vigilance des AIPD doivent s'intégrer aux cahiers des charges des traitements ainsi qu'à la documentation de conduite des projets

NOTRE OFFRE D'ACCOMPAGNEMENT :

Compléter votre outillage RGPD

Le programme de conformité RGPD accountability intégre une check-list des actions pour vérifier l'existence d'une feuille de route cohérence.  Il s'agit d'avancer pas à pas. pour maîtriser le risque de non conformité. L'outillage RGPD s'appuie sur plusieurs Quick-win.

Image de Ferdinand Stöhr

+33 1 85 09 72 54

122 avenue des Champs Elysées 75008 Paris