Parmi les nombreuses nouvelles mesures imposées par le règlement général sur la protection des données (RGPD), les exigences entourant les analyses d’impact sur la protection des données suscitent souvent la plus grande confusion. De nombreux propriétaires d’entreprises n’ont aucune idée de l’utilité de ce document ni du moment où il est requis.
Dans cet article, nous allons patauger dans le jargon juridique pour expliquer les complexités des évaluations d’impact sur la protection des données afin que vous puissiez réaliser votre propre évaluation avec succès et la documenter de la meilleure façon possible.
Quel est le but d’une évaluation d’impact sur la protection des données ?
Les évaluations d’impact sur la protection des données (EIPD) sont utilisées pour étudier, reconnaître et atténuer les risques potentiels pour les données avant de lancer une nouvelle entreprise ou un nouveau projet.
En effectuant une DPIA avant un nouveau projet, vous pouvez espérer :
- mieux comprendre les risques de protection des données auxquels vous serez confrontés au cours du projet ;
- calculer des méthodes pour diminuer ou éliminer ces risques ;
- décider si les avantages du projet l’emportent sur les risques de protection des données ;
- préparer une déclaration éclairée qui divulguera les risques à toutes les personnes qui seront affectées ;
- documenter les mesures de protection des données pour démontrer la conformité au GDPR aux autorités de contrôle ;
- identifier les possibilités d’intégrer les principes de « production de données dès la conception » dans le projet.
Vous pouvez suivre ce lien pour tout savoir à propos du logiciel rgpd.
Quand une évaluation d’impact sur la protection des données est-elle nécessaire ?
Si le projet présente un risque élevé pour la protection des données personnelles et la vie privée, alors une DPIA sera nécessaire.
Le GDPR et le groupe de travail Article 29 fournissent quelques exemples de projets qui nécessiteraient certainement une DPIA :
- une évaluation approfondie des informations sur les consommateurs dans laquelle des décisions sont prises sur la base du traitement automatique et du profilage ;
- un traitement de catégories spéciales de données (orientation sexuelle, race, religion, etc.) ou d’antécédents d’infractions pénales ;
- l’évaluation ou notation des individus, y compris le profilage et la prédiction :
- une décision automatisée ayant un effet légal ou autrement significatif sur la vie des individus ;
- les données de consommation traitées à grande échelle ;
- des ensembles de données qui ont été appariés ou combinés ;
- des données concernant des personnes concernées vulnérables qui pourraient être incapables de fournir un consentement valide ;
- des solutions technologiques ou organisationnelles innovantes ;
- lorsque le traitement des données « empêche les personnes concernées d’exercer un droit ou d’utiliser un service ou un contrat. »
Quand une analyse d’impact sur la protection des données n’est-elle pas nécessaire ?
Dans certaines situations, vous pouvez définitivement écarter la nécessité d’une DPIA. Il s’agit notamment de :
- tout nouveau projet qui ne comporte assurément pas de risque élevé pour les droits et libertés des consommateurs ;
- si vous avez déjà réalisé une DPIA pour un projet antérieur très similaire, vous pouvez utiliser la DPIA existante pour démontrer une protection des données et une conformité adéquates ;
- lorsque le projet de traitement des données a une base juridique établie dans l’UE ;
- si l’activité de traitement des données figure sur la liste d’une autorité de contrôle des projets autorisés qui ne nécessitent pas de DPIA.
Comment réaliser une analyse d’impact sur la protection des données ?
Une DPIA doit être réalisée après que les détails d’un nouveau projet de traitement des données aient été établis et planifiés, mais avant que le projet ne soit effectivement lancé. Le RGPD énonce certaines instructions spécifiques quant à ce qu’une DPIA doit inclure :
- une description détaillée du projet ainsi que son objectif ;
- une évaluation de la nécessité du traitement des données impliqué et à quelle échelle ;
- une évaluation de tous les risques possibles pour la protection des données et la vie privée des consommateurs ;
- une explication de la façon dont ces risques seront atténués et dont le projet adhérera aux politiques du RGPD.
Bien que cela puisse sembler une liste relativement courte, il y a beaucoup de recherche et d’efforts à fournir pour répondre à ces exigences. Nous avons exposé ci-dessous les étapes que vous pouvez suivre pour créer une évaluation d’impact sur la protection des données complète.
1. Décrire les flux de données
Débutez par décrire comment les données seront traitées tout au long du projet. Le détail est essentiel ici, alors soyez aussi exhaustif que possible en examinant vos activités de traitement des données du début à la fin.
Voici quelques questions à poser lors de la compilation de cette section :
- Comment les données seront-elles collectées ?
- Comment les données seront-elles utilisées ?
- Où et comment seront-elles stockées ?
- Quelle est la source des données ?
- Seront-elles partagées avec un tiers et si oui, pourquoi ?
- Quelles catégories de données ou activités à haut risque seront concernées ?
Ce DPIA commence par répondre en détail à certaines des questions ci-dessus puis à enchaîner avec plusieurs organigrammes pour illustrer les flux de données, ce qui permet de visualiser facilement et de comprendre réellement ce qui se passe avec les données.
Cette section de votre EFDP peut être plutôt simple si vous ne travaillez qu’avec des données limitées collectées de manière limitée, mais vous pouvez voir comment cette section pourrait devenir très compliquée et longue.
2. Portée des données
Puis, décrivez la portée du traitement des données. Ici, vous devrez vous plonger profondément dans les données elles-mêmes, en décrivant les types de données qui seront collectées, la quantité de données, et ainsi de suite. Cette section diffère selon l’entreprise et le projet concernés, mais peut couvrir les points suivants :
- Quelles catégories de données seront collectées ?
- Est-ce que cela impliquera des catégories spéciales ou sensibles de données ?
- Quelle quantité de données sera collectée et combien de consommateurs seront concernés ?
- Le traitement des données est-il localisé dans une zone spécifique ?
- Combien de temps les données seront-elles conservées ?
3. Finalités du traitement des données
Décrivez ce que le projet est censé réaliser grâce au traitement des données. Quels sont les avantages pour le responsable du traitement des données et comment les consommateurs seront-ils affectés ?
Vous pouvez voir comment il peut simplement s’agir de paragraphes courts, mais descriptifs discutant des projets. Le texte lui-même note qu’il s’agit de » brèves descriptions des projets « .
4. Contexte du traitement et personnes concernées
C’est ici que vous commencez à poser certaines des questions les plus difficiles. Pensez aux consommateurs qui seront concernés et à la manière dont ce traitement des données peut les affecter. C’est également un bon moment pour examiner le contexte du projet de traitement des données lui-même et sa position dans le secteur.
Voici quelques questions à poser et auxquelles répondre pendant cette phase :
- Quelle est votre base juridique pour collecter les données des utilisateurs ? Avez-vous mis en place des mesures de consentement appropriées ?
- Votre base de consommateurs est-elle vulnérable d’une quelconque manière, par exemple dans le cas d’enfants ou de personnes souffrant de troubles mentaux ?
- Ce type de traitement a-t-il déjà été effectué auparavant ? Des technologies similaires sont-elles déjà en place ?
- Des failles de sécurité ont-elles été identifiées dans des projets similaires ?