Lexique IT
Analyse d’impact relative à la protection des données – AIPD (Data privacy impact assesment)
L’analyse d’impact relative à la protection des données à caractère personnel est l’évaluation des risques pour les droits et libertés des personnes physique susceptibles d’être engendrés par une opération de traitement de données à caractère personnel.
Elle est requise lorsque le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques.
En particulier, le responsable du traitement doit réaliser cette analyse lorsque :
- Le traitement est sur la liste publiée par la CNIL pour lesquels une analyse d’impact est obligatoire ; OU
- Le traitement remplit au moins deux critères parmi les suivants :
- Évaluation ou notation ;
- Prise de décisions automatisée avec effet juridique ou effet similaire significatif ;
- Surveillance systématique ;
- Données sensibles ou données à caractère hautement personnel ;
- Données traitées à grande échelle ;
- Croisement ou combinaison d’ensembles de données ;
- Données concernant des personnes vulnérables ;
- Utilisation innovante ou application de nouvelles solutions technologiques ou organisationnelles ;
- Empêche d’exercer un droit ou de bénéficier d’un service ou d’un contrat.
L’analyse doit notamment comprendre les mesures, garanties et mécanismes envisagés pour atténuer le risque pour les droits et libertés des personnes physiques, assurer la protection des données et démontrer le respect du RGPD.
Les résultats de cette analyse doivent en tout état de cause permettre de déterminer les mesures appropriées à prendre afin de démontrer que le traitement des données à caractère personnel respecte le RGPD.
Lorsqu’il ressort de l’analyse que les opérations de traitement comportent un risque jugé comme élevé, et que le responsable de traitement ne peut atténuer ce risque en prenant des mesures adéquates compte tenu des techniques disponibles et des coûts liés à leur mise en œuvre, il doit en avertir l’autorité de contrôle avant de mettre en œuvre le traitement dans le cadre d’une consultation préalable.
Point RGPD
« L’analyse contient au moins:
- une description systématique des opérations de traitement envisagées et des finalités du traitement, y compris, le cas échéant, l’intérêt légitime poursuivi par le responsable du traitement;
- une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités;
- une évaluation des risques pour les droits et libertés des personnes concernées conformément au paragraphe 1 et;
- les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du présent règlement, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes affectées.»
Point jurisprudence
La CNIL a pu rappeler à l’ordre le ministère des solidarités et de la santé de ne pas avoir décrit « la totalité des opérations de traitement des données à caractère personnel en lien avec l’application StopCovid Franc et les mesures pour limiter les risques, l’analyse d’impact établie par le ministère des solidarités et de la santé ne répond pas pleinement aux exigences de l’article 35 du RGPD. »
CNIL, 15 juillet 2020, N°MED-2020-015
Le Cabinet Bouchara vous accompagne notamment dans :
- La mise en conformité de votre organisme au RGPD ;
- La rédaction de politiques de protection des données (politique de confidentialité, charte informatique…) ;
- La documentation de vos traitements (registre des activités de traitement, registre des violations, analyse d’impact relative à la vie privée, consultation préalable…) ;
- L’obtention de certifications et l’adhésion à des codes de conduite ;
- L’étude de la faisabilité juridique de la mise en œuvre d’un nouveau traitement de données à caractère personnel ;
- La rédaction et transmission de vos codes de conduites à la CNIL pour approbation ;
- L’analyse juridique de la conformité de vos traitements de données, y compris des transferts de données hors de l’Espace Economique Européen ;
- La rédaction et la négociation de vos accords de traitements de données (DPA) ;
- La rédaction de vos règles d’entreprises contraignantes (BCR) et codes de conduites ;
- La formation et la sensibilisation de vos collaborateurs.
Nous sommes également Délégué à la Protection des Données externe de nombreux responsables de traitements et sous-traitants.