La r\u00e9alisation d\u2019une analyse d\u2019impact relative \u00e0 la protection des donn\u00e9es (tout un programme) ou Data Protection Impact Assessment (DPIA) est une obligation singuli\u00e8re prescrite par le R\u00e8glement g\u00e9n\u00e9ral sur la protection des donn\u00e9es (RGPD). Lorsqu\u2019une organisation effectue un traitement pr\u00e9sentant un risque accru pour les droits et libert\u00e9s des personnes concern\u00e9es, une telle AIPD est recommand\u00e9e, voire obligatoire dans certains cas. Il incombe au DPD, le d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es, d\u2019\u00e9valuer (et de conseiller) une AIPD. Une telle \u00e9valuation peut \u00e9galement \u00eatre faite par une autorit\u00e9 de contr\u00f4le, par exemple dans le cadre d\u2019une inspection. Mais quels sont les conseils ou \u2018beaut\u00e9s\u2019 \u00e0 appliquer pour \u00e9valuer une AIPD\u00a0?<\/p>\n
Conseil 1\u00a0: D\u00e9limitez le traitement<\/strong> afin que la port\u00e9e soit claire. Les limites d\u2019une AIPD ne sont pas n\u00e9cessairement d\u00e9finies par les fronti\u00e8res de la responsabilit\u00e9 du traitement. La port\u00e9e d\u2019une AIPD est principalement d\u00e9termin\u00e9e par les activit\u00e9s de traitement qui, effectu\u00e9es conjointement, entra\u00eenent un risque accru pour la personne concern\u00e9e. On peut ainsi limiter l\u2019AIPD d\u2019une application de sant\u00e9 \u00e0 l\u2019application elle-m\u00eame, m\u00eame si on peut inclure dans l\u2019analyse le t\u00e9l\u00e9chargement de l\u2019application \u00e0 partir de la boutique d\u2019applications (ce qui peut impliquer une forme de profilage).<\/p>\n Conseil 2\u00a0: D\u00e9crivez clairement les finalit\u00e9s du traitement<\/strong> et les activit\u00e9s de traitement<\/strong> qui y sont li\u00e9es. La personne qui lit l\u2019AIPD (une autorit\u00e9 de contr\u00f4le, par exemple) doit comprendre les activit\u00e9s de traitement de mani\u00e8re claire et compr\u00e9hensible. Utilisez des sch\u00e9mas clairs et un langage simple (c\u2019est-\u00e0-dire pas trop techniques ou juridique) pour expliquer les op\u00e9rations de traitement.<\/p>\n Conseil 3\u00a0: Une AIPD qui n\u2019\u00e9value pas la n\u00e9cessit\u00e9 et la proportionnalit\u00e9<\/strong>… n\u2019est pas une AIPD. Vous devez donc aborder dans votre AIPD les raisons pour lesquelles les activit\u00e9s de traitement sont n\u00e9cessaires et expliquer que les activit\u00e9s de traitement que vous menez sont proportionn\u00e9es \u00e0 la finalit\u00e9 du traitement.<\/p>\n Conseil 4\u00a0: Une AIPD n\u2019est pas une simple analyse de conformit\u00e9. L\u2019essence m\u00eame de l\u2019AIPD est d\u2019expliquer les risques qui p\u00e8sent<\/strong> sur les droits et libert\u00e9s <\/strong>de la personne concern\u00e9e et les mesures<\/strong> que vous mettez en place pour att\u00e9nuer ces risques. De nombreuses AIPD manquent de cr\u00e9ativit\u00e9 et se limitent, par exemple, \u00e0 la question de savoir quelle est la probabilit\u00e9 que le droit d\u2019une personne concern\u00e9e ne puisse pas \u00eatre exerc\u00e9 ou qu\u2019une fuite de donn\u00e9es se produise. Une AIPD d\u00e9tecte des risques tels que, par exemple, l\u2019exclusion (\u00e0 tort) d\u2019un individu sur la base d\u2019un score de cr\u00e9dit.<\/p>\n Conseil 5\u00a0: D\u00e9crire le risque ne le fera pas dispara\u00eetre. Un risque \u00e9lev\u00e9 n\u2019est pas att\u00e9nu\u00e9 par le simple fait de mettre quelques mots sur le papier. Soyez honn\u00eate dans l\u2019\u00e9valuation du risque r\u00e9siduel <\/strong>et n\u2019exag\u00e9rez pas son impact sur le risque. Une analyse d\u2019impact relative au transfert de donn\u00e9es (Data Transfer Impact Assessment), par exemple, n\u2019\u00e9liminera pas en soi le risque li\u00e9 \u00e0 un transfert de donn\u00e9es.<\/p>\n Conseil 6\u00a0: Mettez r\u00e9ellement en \u0153uvre les mesures<\/strong> que vous d\u00e9crivez. Une AIPD n\u2019est vraiment efficace que si vous appliquez r\u00e9ellement les mesures d\u00e9crites. Cela commence par une explication des risques et des mesures \u00e0 l\u2019intention de toutes les personnes impliqu\u00e9es dans le traitement.<\/p>\n Conseil 7\u00a0: Identifiez les crit\u00e8res pour une r\u00e9\u00e9valuation de l\u2019AIPD<\/strong>. Il y a en gros deux situations qui conduisent \u00e0 une r\u00e9\u00e9valuation\u00a0: le suivi du risque, d\u2019une part, et la r\u00e9\u00e9valuation en cas de changement (du contexte) de l\u2019activit\u00e9 de traitement, d\u2019autre part. Le premier cas fait partie des crit\u00e8res de garantie, le second est souvent initi\u00e9 par ce que l\u2019on appelle un \u2018changement de finalit\u00e9\u2019, o\u00f9 de nouvelles activit\u00e9s de traitement sont mises en place pour am\u00e9liorer le produit ou le service.<\/p>\n <\/p>\n Vous voulez en savoir plus sur les AIPD et sur la mani\u00e8re de les r\u00e9aliser ou de les \u00e9valuer\u00a0? Inscrivez-vous \u00e0 notre formation \u00ab\u00a0Analyses d’impact RGPD :<\/a> DTIA & DPIA<\/a> \u00bb. La formation DTIA & DPIA est destin\u00e9e au DPD\/professionnel de la protection de la vie priv\u00e9e qui est r\u00e9guli\u00e8rement confront\u00e9 \u00e0 l\u2019\u00e9valuation ou la r\u00e9alisation d\u2019analyses de traitements de donn\u00e9es \u00e0 caract\u00e8re personnel \u00e0 risque et\/ou au transfert international de donn\u00e9es \u00e0 caract\u00e8re personnel.<\/p>\n","protected":false},"excerpt":{"rendered":" La r\u00e9alisation d\u2019une analyse d\u2019impact relative \u00e0 la protection des donn\u00e9es (tout un programme) ou Data Protection Impact Assessment (DPIA) est une obligation singuli\u00e8re prescrite par le R\u00e8glement g\u00e9n\u00e9ral sur la protection des donn\u00e9es (RGPD). Lorsqu\u2019une organisation effectue un traitement pr\u00e9sentant un risque accru pour les droits et libert\u00e9s des personnes concern\u00e9es, une telle AIPD […]<\/p>\n","protected":false},"author":10,"featured_media":10915,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[30],"tags":[],"class_list":["post-10976","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-dpo"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/posts\/10976","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/users\/10"}],"replies":[{"embeddable":true,"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/comments?post=10976"}],"version-history":[{"count":5,"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/posts\/10976\/revisions"}],"predecessor-version":[{"id":13620,"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/posts\/10976\/revisions\/13620"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/media\/10915"}],"wp:attachment":[{"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/media?parent=10976"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/categories?post=10976"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/tags?post=10976"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}