Le Bureau du Commissaire à l'information a mis à jour la section du RGPD sur les évaluations d'impact sur la protection des données (DPIA), en se concentrant sur le risque, la responsabilité et la protection des données dès la conception. L'article 35, paragraphe 4, est également soumis à une consultation publique jusqu'au 13 avril.
Les évaluations d'impact sur la protection des données ou DPIA, qui seront obligatoires dans certains cas, constituent une nouvelle obligation pour les sous-traitants. dans le cadre du Règlement Général sur la Protection des Données.
Lors du traitement de données « susceptibles d'entraîner un risque élevé pour les intérêts des individus », une AIPD devra être menée pour déterminer le niveau de risque. Si le niveau est élevé, le Commissariat à l'information vous demande de le consulter directement.
Si vous effectuez déjà des évaluations des impacts sur la vie privée (PIA), vous devrez revoir le processus avant le 25 mai 2018 pour vous assurer qu'il est conforme aux mises à jour du RGPD. Toute organisation qui n’effectue pas encore d’évaluation des impacts sur la vie privée devrait prendre le temps de concevoir des AIPD et de les inclure dans ses processus.
Cette évaluation, provoquée par le GDPR, est un processus qui vise à vous aider à identifier et à minimiser (mais pas nécessairement à éradiquer) tout risque pour la protection des données que vous et votre organisation traitez.
L'ICO indique que votre évaluation d'impact sur la protection des données doit :
L'objectif principal de l'évaluation est de protéger les données à haut risque, mais elle vous aide également à démontrer votre engagement en faveur de la sécurité des informations et à instaurer la confiance avec les individus. Le risque de non-conformité est d'une grande importance, mais un risque plus large pour les droits et libertés (y compris un désavantage social ou économique) devrait également être pris en compte dans l'analyse d'impact sur la protection des données. Cela inclut « le potentiel de préjudice – qu'il soit physique, matériel ou immatériel – envers les individus ou la société dans son ensemble ».
Comme nous l'avons évoqué plus tôt, l'AIPD doit être réalisée avant que vous traiter des données qui pourraient entraîner un risque élevé. C'est évaluer le niveau de risque et identifier les facteurs qui pourraient avoir un impact sur les individus. Le RGPD stipule que vous devez mener une AIPD si vous :
L'ICO a publié un guide de haut niveau sur la planification de votre DPIA, présenté ici dans le graphique, mais vous pouvez adapter le processus à votre organisation. N'oubliez pas que cela doit devenir l'un des processus fondamentaux de votre organisation et qu'il doit donc fonctionner pour vous. Il existe également des lignes directrices européennes pour la planification des AIPD que vous souhaiterez peut-être suivre.
Le Bureau du Commissaire à l'information a ouvert à la consultation publique son projet de lignes directrices pour les évaluations d'impact sur la protection des données. Lisez les détails et donnez votre avis le site de l'OIC.