Les analyses d’impact sur la protection des données ont pour but d’aider les organismes collectant et traitant des données à caractère personnel, d’identifier, analyser et limiter les risques liés aux activités de traitement des données.

Ces procédures sont particulièrement importantes lors de la mise en place de nouveaux systèmes, technologies et procédures de traitement des données.

Aidp 670 250

De quoi parle-t-on ?

Les AIPD, autrement appelées Analyses d’Impact, sont une exigence légale imposée par le Règlement Général sur la Protection des Données (RGPD) pour le traitement de données susceptible de présenter un « risque élevé ».

L’AIPD sera dès lors nécessaire auquel cas l’organisme pourra faire face à des sanctions de la part des autorités de contrôle nationale (la CNIL pour la France).

Au sens de l’article 37 du RGPD, l’AIPD doit comporter plusieurs éléments dont :

  • la description des opérations de traitement ;
  • l'évaluation de leur nécessité et de leur proportionnalité ;
  • l’évaluation des risques et les mesures envisagées pour y faire face.

Quels sont les traitements concernés ?

Le RGPD est venu préciser qu’une AIPD est nécessaire lorsqu’au moins 2 des 9 critères suivants sont remplis :

  • l'évaluation ou le scoring ;
  • la prise de décision automatisée ;
  • la surveillance systématique ;
  • le traitement de données sensibles ou données à caractère hautement personnel ;
  • le croisement des données ;
  • le traitement de données des personnes vulnérables à savoir : des patients, des personnes âgées, des mineurs etc ;
  • l’utilisation d’une nouvelle technologie ;
  • l'exclusion d’un bénéfice d’un droit / contrat ;
  • la collecte de données personnelles à grande échelle.

Quand réaliser une AIPD ?

L’AIPD devra être exécutée avant la mise en œuvre du traitement, l’opération va répondre aux principes de privacy by design et de privacy by default, principes venant renforcer la notion d’accountability.

L’élaboration d’une AIPD nécessite la mise en place d’une certaine organisation de la part du responsable du traitement (RT).

Quels outils pour une AIPD ?

La CNIL a mis en place un logiciel open source dit PIA afin de permettre aux responsables de traitement d’élaborer leur analyse d'impact.

Les outils peuvent varier d’un État à un autre, par exemple au Royaume-Uni l’autorité de contrôle nationale a mis en place un questionnaire qui reprend les étapes clés à prendre en compte lors d’un AIPD.

Quelles mesures ou sanctions en cas de manquement aux obligations relatives à
l’AIPD ?

L’absence ou l’incomplétude de l’AIPD est susceptible de faire l’objet d’une mise en demeure de la CNIL et/ou d’une sanction financière.

Cette dernière peut s’élever à 10 millions d’euros ou jusqu’à 2% du chiffre d’affaires annuel mondial total de l’exercice précédent.


Cet article a été rédigé en partenariat avec AD&JURIS INNOV.

Logo Ad&Juris Innov

Vous souhaitez en savoir plus ?

Discutons du RGPD dans votre entreprise

    Prenez

contact

Restons connectés

Recevez les derniers articles publiés et les bonnes pratiques liées au RGPD.

Je m'inscris à la newsletter