Lexique > AIPD (Data privacy impact assesment)
Lexique IT
L’analyse d’impact relative à la protection des données est l’évaluation des risques pour les droits et libertés des personnes physique susceptibles d’être engendrés par une opération de traitement de données à caractère personnel. Elle est requise lorsque le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques. En particulier, le responsable du traitement doit réaliser cette analyse lorsque : – Le traitement est sur la liste publiée par la CNIL pour lesquels une analyse d’impact est obligatoire ; OU – Le traitement remplit au moins deux critères parmi les suivants :
– Évaluation ou notation ;
– Prise de décisions automatisée avec effet juridique ou effet similaire significatif ;
– Surveillance systématique ;
– Données sensibles ou données à caractère hautement personnel ;
– Données traitées à grande échelle ;
– Croisement ou combinaison d’ensembles de données ;
– Données concernant des personnes vulnérables ;
– Utilisation innovante ou application de nouvelles solutions technologiques ou organisationnelles ;
– Empêche d’exercer un droit ou de bénéficier d’un service ou d’un contrat.
L’analyse doit notamment comprendre les mesures, garanties et mécanismes envisagés pour atténuer le risque pour les droits et libertés des personnes physiques, assurer la protection des données et démontrer le respect du RGPD. Les résultats de cette analyse doivent en tout état de cause permettre de déterminer les mesures appropriées à prendre afin de démontrer que le traitement des données à caractère personnel respecte le RGPD. Lorsqu’il ressort de l’analyse que les opérations de traitement comportent un risque jugé comme élevé, et que le responsable de traitement ne peut atténuer ce risque en prenant des mesures adéquates compte tenu des techniques disponibles et des coûts liés à leur mise en œuvre, il doit en avertir l’autorité de contrôle avant de mettre en œuvre le traitement dans le cadre d’une consultation préalable.
Point RGPD
« L’analyse contient au moins :
une description systématique des opérations de traitement envisagées et des finalités du traitement, y compris, le cas échéant, l’intérêt légitime poursuivi par le responsable du traitement;
une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités;
une évaluation des risques pour les droits et libertés des personnes concernées conformément au paragraphe 1;
les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du présent règlement, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes affectées.» Article 35, paragraphe 7, du RGPD.
Point jurisprudence
La CNIL a rappelé à l’ordre le ministère des solidarités et de la santé de ne pas avoir décrit « la totalité des opérations de traitement des données à caractère personnel en lien avec l’application StopCovid Franc et les mesures pour limiter les risques, l’analyse d’impact établie par le ministère des solidarités et de la santé ne répond pas pleinement aux exigences de l’article 35 du RGPD. » CNIL, 15 juillet 2020, N°MED-2020-015
