Feedback
ella
Traitements avec Analyse obligatoire de l'impact sur la protection des données : liste publiée
Du moniteur du 22/03/2019
Publié le 02/04/2019

Analyse de l'impact sur la protection des données (AIPD)

Le Règlement Général de Protection des Données (RGPD) oblige une entreprise, dans certains cas, à réaliser une Analyse de l'impact sur la protection des données (AIPD).

 

Une AIPD est une procédure visant à répertorier les risques de non-respect de la vie privée dans le cadre d'un traitement de données. Puis de prendre les mesures nécessaires pour réduire ces risques.

 

Quand est-ce obligatoire ?

Le responsable du traitement doit réaliser une AIPD préalable pour les traitements susceptibles d'engendrer un risque élevé.

 

Le RGPD énumère une série de cas dans lesquels de tels risques spécifiques sont présents.

 

En outre, toute autorité de contrôle doit établir une liste des types de traitements pour lesquels une AIPD est obligatoire.

L'Autorité de protection des données a publié sa liste. Vous la trouverez ici.

 

Le responsable du traitement qui considère l'un des traitements énumérés est tenu, à partir du 1er avril 2019, de réaliser une AIPD avant de débuter le traitement.

 

La liste est évolutive. L'Autorité de protection des données peut la modifier ou la mettre à jour.

 

Attention !

Lorsqu'un type d'activité de traitement ne figure pas dans la liste, cela ne signifie pas automatiquement qu'une entreprise ne doit pas réaliser l'AIPD. La liste énumère seulement les cas dans lesquels une AIPD doit bien être réalisée.

Qu'est-ce que cela signifie pour l'employeur?

L'Autorité de protection des données a publié une liste des types de traitements pour lesquels une AIPD est obligatoire.

 

Pour un employeur « ordinaire », cette liste ne contient pas de surprises.

Source:
Décision du Secrétariat général n° 1/2019 du 16 janvier 2019, MB 22 mars 2019, p. 28512.

Sommaire

1. Qu'est-ce qu'une AIPD ?

Une AIPD (ou Analyse de l'impact sur la protection des données) est une procédure visant à répertorier les risques de non-respect de la vie privée dans le cadre d'un traitement de données. Puis de prendre les mesures nécessaires pour réduire ces risques.

 

Le responsable du traitement doit réaliser une AIPD préalable pour les traitements susceptibles d'engendrer un risque élevé. Le sous-traitant peut également être impliqué.

 

Lorsqu'un fonctionnaire est désigné à la protection des données, le responsable du traitement doit lui demander conseil.

2. Quand une AIPD est-elle obligatoire ?

2.1.Règle générale : risque élevé probable

 

Une entreprise doit réaliser une AIPD lorsque le traitement des données est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques.

 

Le « Groupe de travail article 29 » a élaboré neuf critères pour déterminer s'il est question ou non de risque élevé probable.

 

Plus particulièrement, on vérifie si le traitement envisagé remplit au moins deux des critères suivants :

  • Évaluation ou appréciation de caractéristiques personnelles (par ex. orientation sexuelle)
  • Prise de décision automatisée
  • Surveillance systématique (par ex. surveillance par caméras)
  • Traitement de données sensibles
  • Traitement à grande échelle
  • Combinaison de données provenant de différentes sources
  • Traitement des données de personnes concernées vulnérables (par ex. enfants, personnes incapables de défendre leurs droits)
  • Développement de nouvelles technologies
  • Lorsque, à la suite du traitement même, les personnes concernées ne peuvent exercer un droit ni invoquer un service ou un contrat

 

Lorsqu'un traitement envisagé répond à plusieurs critères (deux ou plus), il est généralement indiqué que le responsable du traitement réalise une AIPD.

 

2.2. Traitements pour lesquels une AIPD est obligatoire ou non selon le RGPD

 

2.2.1. Traitements pour lesquels une AIPD est obligatoire

 

En outre, le Règlement général de Protection des données (RGPD) énumère trois cas dans lesquels la réalisation d'une AIPD est obligatoire. À savoir en cas de :

  • évaluation systématique et approfondie des aspects personnels de personnes physiques, y compris le profilage, sur laquelle sont fondées des décisions qui affectent fondamentalement une personne physique ;

  • traitement à grande échelle de catégories particulières de données à caractère personnel ou de données relatives à des condamnations pénales ou à des faits délictueux ;

  • surveillance systématique et à grande échelle d'espaces accessibles au public (principalement en cas d'utilisation de caméras).

 

2.2.2. Traitements pour lesquels une AIPD n'est pas obligatoire

 

Le RGPD prévoit deux cas dans lesquels il n'est pas nécessairement obligatoire de réaliser une AIPD. Plus précisément lorsque le traitement envisagé est nécessaire :

  • au respect d’une obligation légale à laquelle le responsable du traitement est soumis ; et

  • à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement.

 

Pour que cette exception s'applique, il est nécessaire que :

  • le traitement trouve son fondement juridique dans le droit de l'Union ou dans le droit de l'État membre applicable au responsable du traitement ;

  • le traitement spécifique ou l'ensemble des traitements en question soit réglementé de la sorte ;

  • une AIPD ait déjà été réalisée en tant qu'élément d'une analyse d'impact générale dans le cadre du constat de ce fondement juridique.

 

2.3. Liste de l’Autorité de protection des données

 

En outre, toute autorité de contrôle doit établir une liste des types de traitements pour lesquels une AIPD est obligatoire.

 

L'Autorité de protection des données (APD) a publié sa liste. Vous la trouverez ici.

 

Le responsable du traitement qui considère l'un des traitements énumérés est tenu, à partir du 1er avril 2019, de réaliser une AIPD avant de débuter le traitement.

 

La liste est évolutive. L'APD peut la modifier ou la mettre à jour.

 

Attention !

Lorsqu'un type d'activité de traitement ne figure pas dans la liste, cela ne signifie pas automatiquement qu'une entreprise ne doit pas réaliser l'AIPD. La liste énumère seulement les cas dans lesquels une AIPD doit bien être réalisée.

 

Pour un employeur « ordinaire », cette liste ne contient pas de surprises.

3. Informations supplémentaires

L'Autorité de protection des données a créé un « dossier thématique RGPD » sur son site Internet.

 

L'AIPD est également abordée en détail. Sur cette page, vous trouverez également de nombreuses informations, telles que :

  • un schéma « Dois-je réaliser une AIPD ? » ;

  • comment réaliser une AIPD ;

  • des explications complémentaires sur la façon dont vous pouvez déterminer s'il est question d'un risque élevé probable ;

  • une vidéo informative.

Oeps,

Désolé, il s'est produit une erreur.

Veuillez réessayer plus tard.

Cette information est-elle utile pour vous ?

Oui Non

Quelle affirmation décrit le mieux votre feedback ?






Votre feedback

La version du navigateur que vous utilisez n'est pas optimale pour ce site web. La plupart des fonctions ne seront pas correctement prises en charge. La version que vous utilisez, n’est plus soutenue par Microsoft. Vous n’êtes donc plus protégé. Afin de pouvoir garantir la sécurité et la confidentialité de vos données, nous vous conseillons de passer le plus rapidement possible à Internet Explorer 11 ou d’utiliser la dernière version d’un autre navigateur.