Avez-vous l’obligation de réaliser un analyse d’impact ?

Avez-vous l’obligation de réaliser un analyse d’impact ?

Avez-vous l’obligation de réaliser un analyse d’impact ? 1024 683 OPTIMEX DATA - Conformité RGPD

L’article 35 du RGPD (Règlement sur la protection des données personnelles) prévoit la réalisation d’une analyse d’impact sur la protection des données à caractère personnel (« AIPD » ou « PIA » en anglais) lorsqu’un traitement de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées.

L’AIPD est un élément central du RGPD, et un outil important pour la responsabilisation des organismes : elle leur permet de construire des traitements de données respectueux de la vie privée, mais également à démontrer leur conformité au RGPD. C’est au responsable de traitement de mesurer, à travers l’analyse d’impact, l’échelle du risque en termes de gravité et de vraisemblance. Par exemple, il est possible d’évaluer le risque pour la vie privée des patients d’un hôpital suite un piratage d’une base de données contenant des données médicales. Ce risque pourrait être estimé comme particulièrement grave (conséquences graves pour les patients) mais peu vraisemblable (dans la mesure où les logiciels d’hébergement des données de santé sont bien protégés).

Pas facile cependant de déterminer si nous sommes dans l’obligation de réaliser une analyse d’impact. Comment juger si un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes ?

Pour répondre à cette interrogation et accompagner les responsables de traitement dans leur réflexion, la CNIL a précisé les conditions dans lesquelles l’analyse d’impact est obligatoire :

  • Lorsque le traitement envisagé figure dans la liste des types d’opérations de traitement pour lesquelles la CNIL a estimé obligatoire de réaliser une analyse d’impact relative à la protection des données. C’est le cas par exemple pour les traitements mis en œuvre par les hôpitaux, pour les analyses comportementales sur les réseaux sociaux, ou pour la publicité ciblée en ligne.
  • Lorsque le traitement remplit au moins deux des neuf critères issus des lignes directrices du CEPD (Comité européen de la protection des données), par exemple s’il porte sur des données dites « sensibles » ou « à caractère hautement personnel », sur des personnes dites « vulnérables » (patients, personnes âgées, enfants, etc.), ou encore lorsque le traitement consiste en une collecte de données personnelles à large échelle.

A noter : La CNIL classe les salariés dans les « personnes vulnérables ». Par exemple, un système de géolocalisation des véhicules du personnel à large échelle doit faire l’objet d’une analyse d’impact.

Pour conduire une telle analyse, le responsable de traitement fait appel au délégué à la protection des données (DPO), chargé de le conseiller et de vérifier l’exécution du travail.

Pour accompagner les organismes, la CNIL met à disposition un logiciel PIA.

S’inscrire à notre newsletter.

    Votre nom *

    Votre Email *

    Veuillez saisir le code ci-dessous :

    captcha

    Les informations recueillies par le biais de ce formulaire sont enregistrées et transmises aux services concernés d’OPTIMEX DATA et nous permettent de vous envoyer notre lettre d’information concernant les services que nous proposons. La base légale du traitement est le consentement. Les données collectées sont conservées jusqu’à votre désinscription (lien de désinscription intégré à la Newsletter) dans nos fichiers informatiques. Vous disposez d’un droit d’accès, de rectification, d’opposition, de limitation au traitement et d’effacement. Pour en savoir plus sur l’utilisation de vos données et sur vos droits issus de la Loi Informatique et Libertés modifiée ainsi que du RGPD, veuillez consulter notre politique de protection des données ou nous contacter à privacy@optimex-data.fr.

    logo optimex data

    @Optimex Data 2024 – Tous droits réservés

    OPTIMEX DATA, sécurité et conformité RGPD en toute sérénité !

    Call Now Button