Une évaluation de l’impact sur la protection des données (DPIA) est une méthode systématique d’évaluation et de documentation des activités de traitement de données pertinentes afin d’assurer la protection de la vie privée. Elle détermine les risques de vos activités et identifie les possibilités d’atténuer ou d’éliminer ces risques afin que tout le monde soit plus en sécurité. L’article 35 du RGPD oblige les responsables du traitement des données à effectuer une analyse DPIA dans certaines circonstances. Ne pas produire la preuve de la conduite d’une DPIA à la demande pourrait entraîner des amendes énormes.
Qu’est-ce qu’une DPIA ?
Bien que l’exigence DPIA ne s’applique qu’aux contrôleurs de données et non aux processeurs de données, il est important de noter la différence entre ces deux rôles et la façon dont une partie peut techniquement être les deux. Un responsable de traitement est chargé de décider des données personnelles qui seront collectées et de ce qui sera fait avec ces données. Le processeur de données est la partie qui exécute les souhaits du contrôleur de données et traite les données conformément aux instructions du contrôleur. Cependant, les processeurs de données peuvent aussi être des contrôleurs de données. Par exemple, considérons une entreprise telle que Mailchimp qui traite les données d’adresse électronique d’autres entreprises. Dans cette relation, Mailchimp est le processeur de données des entreprises qui en dépendent pour traiter les adresses électroniques collectées par ces dernières. Les entreprises sont les contrôleurs de données. Mais Mailchimp peut être un contrôleur de données en ce qui concerne les informations recueillies auprès de ses propres employés et de ses clients. En effet, les adresses e-mail collectées par les entreprises intéressées par Mailchimp sont considérées comme des données personnelles dont Mailchimp est le responsable du traitement. Ainsi, dans certaines circonstances où Mailchimp est le contrôleur de données, il peut être nécessaire de procéder à une analyse DPIA.
Quand une DPIA est-elle nécessaire ?
Le RGPD exige qu’une DPIA soit réalisée avant de traiter des données lorsque l’activité de traitement « risque de présenter un risque élevé pour les droits et libertés des personnes physiques ». Les législateurs n’ont pas fourni une liste exhaustive d’exemples de ce qui pourrait arriver. Quelques exemples énumérés à l’article 35, paragraphe 3, incluent toutefois :
“Une surveillance systématique d’une zone accessible au public à grande échelle”
« Traitement à grande échelle de catégories particulières de données visées à l’article 9, paragraphe 1, ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10 »
“Une évaluation systématique et approfondie des aspects personnels des personnes physiques, fondée sur un traitement automatisé, y compris le profilage, et sur laquelle sont fondées les décisions produisant des effets juridiques concernant la personne physique ou ayant une incidence significative sur la personne physique”
Avant de commencer votre DPIA, vous devez effectuer un audit ou un inventaire de tous vos systèmes de traitement de données. Vous aurez besoin des résultats pour compléter la première étape de votre DPIA.
Outils utilisés pour l’analyse d’impact sur la vie privée
Un logiciel PIA aide votre organisation à mener une DPIA, un processus d’évaluation des risques spécifique mandaté par le GDPR (règlement général sur la protection des données) dans certaines circonstances, et un élément important pour démontrer la responsabilité. Une des tâches essentielles d’une DPIA consiste à identifier les risques de protection des données associés à des activités de traitement spécifiques et à déterminer la probabilité que ces risques se matérialisent et leur impact, le cas échéant. Un logiciel PIA simplifie et accélère l’ensemble du processus DPIA et vous aide à répondre à cette exigence clé du RGPD.