Une analyse d'impact sur la protection des données (DPIA) est une méthode systématique d'évaluation et de documentation des activités de traitement des données pertinentes pour assurer la protection de la vie privée. Déterminez les risques de vos activités et identifiez les opportunités pour atténuer ou éliminer ces risques afin que tout le monde soit plus en sécurité. L'article 35 du RGPD oblige les responsables du traitement à effectuer une analyse DPIA dans certaines circonstances. Le défaut de fournir la preuve de l'achèvement d'un DPIA lorsqu'il est demandé pourrait entraîner de lourdes amendes.
Qu'est-ce qu'un DPIA?
Bien que l'exigence DPIA ne s'applique qu'aux contrôleurs de données et non aux processeurs de données, il est important de noter la différence entre ces deux rôles et comment une partie peut techniquement être les deux. Un contrôleur de données est chargé de décider quelles données personnelles seront collectées et ce qui sera fait de ces données. Le responsable du traitement des données est la partie qui exécute les souhaits du responsable du traitement et traite les données conformément aux instructions du responsable du traitement. Cependant, les processeurs de données peuvent également être des contrôleurs de données. Par exemple, considérez une entreprise comme Mailchimp qui traite les données des adresses e-mail d'autres entreprises. Dans cette relation, Mailchimp est le sous-traitant des entreprises qui en dépendent pour traiter les adresses e-mail collectées par celles-ci. Les entreprises sont les responsables du traitement. Mais Mailchimp peut être un contrôleur de données en ce qui concerne les informations collectées auprès de ses propres employés et clients. En effet, les adresses e-mail collectées par les entreprises intéressées par Mailchimp sont considérées comme des données personnelles dont Mailchimp est le responsable du traitement. Ainsi, dans certaines circonstances où Mailchimp est le responsable du traitement, il peut être nécessaire d'effectuer une analyse DPIA.
Quand un DPIA est-il nécessaire?
Le RGPD impose qu'un DPIA soit réalisé avant le traitement des données lorsque l'activité de traitement "est susceptible de présenter un risque élevé pour les droits et libertés des personnes physiques". Les législateurs n'ont pas fourni de liste exhaustive d'exemples de ce qui pourrait arriver. Cependant, certains exemples énumérés à l'article 35(3) comprennent :
"Surveillance systématique d'une zone d'accès public à grande échelle"
"Traitement à grande échelle de catégories particulières de données visées à l'article 9, paragraphe 1, ou de données à caractère personnel liées à des condamnations pénales et à des infractions visées à l'article 10"
"Une évaluation systématique et exhaustive des aspects personnels des personnes physiques, basée sur un traitement automatisé, y compris le profilage, et sur laquelle sont fondées des décisions produisant des effets juridiques sur la personne physique ou ayant une incidence significative sur la personne physique"
Avant de commencer votre DPIA, vous devez effectuer un audit ou un inventaire de tous vos systèmes de traitement de données. Vous aurez besoin des résultats pour terminer la première étape de votre DPIA.
Outils utilisés pour l'analyse d'impact sur la vie privée
Le logiciel PIA aide votre organisation à effectuer une DPIA, un processus d'évaluation des risques spécifique requis par le GDPR (Règlement général sur la protection des données) dans certaines circonstances, et une partie importante de la preuve de responsabilité. L'une des tâches essentielles d'une DPIA est d'identifier les risques de protection des données associés à des activités de traitement spécifiques et de déterminer la probabilité de matérialisation de ces risques et leur impact, le cas échéant. Le logiciel PIA simplifie et accélère l'ensemble du processus DPIA et vous aide à vous conformer à cette exigence clé du RGPD.
