Mises à jour de la section RGPD : évaluations d'impact sur la protection des données (DPIA)

Demander demo

Fermer,haut,image,de,femme,mains,en tapant,sur,ordinateur portable,ordinateur

Le Bureau du Commissaire à l'information a mis à jour la section du RGPD sur les évaluations d'impact sur la protection des données (DPIA), en se concentrant sur le risque, la responsabilité et la protection des données dès la conception. L'article 35, paragraphe 4, est également soumis à une consultation publique jusqu'au 13 avril.

Jetons un coup d'œil rapide aux nouveautés

Évaluations d’impact sur la protection des données et RGPD

Les évaluations d'impact sur la protection des données ou DPIA, qui seront obligatoires dans certains cas, constituent une nouvelle obligation pour les sous-traitants. dans le cadre du Règlement Général sur la Protection des Données.

Lors du traitement de données « susceptibles d'entraîner un risque élevé pour les intérêts des individus », une AIPD devra être menée pour déterminer le niveau de risque. Si le niveau est élevé, le Commissariat à l'information vous demande de le consulter directement.

Si vous effectuez déjà des évaluations des impacts sur la vie privée (PIA), vous devrez revoir le processus avant le 25 mai 2018 pour vous assurer qu'il est conforme aux mises à jour du RGPD. Toute organisation qui n’effectue pas encore d’évaluation des impacts sur la vie privée devrait prendre le temps de concevoir des AIPD et de les inclure dans ses processus.

Qu’est-ce qu’une évaluation d’impact sur la protection des données ?

Cette évaluation, provoquée par le RGPD, est un processus qui vise à vous aider à identifier et à minimiser (mais pas nécessairement à éradiquer) tout risque pour la protection des données que vous et votre organisation traitez.

L'ICO indique que votre évaluation d'impact sur la protection des données doit :

  • Décrivez le traitement et vos finalités
  • Évaluer la nécessité et la proportionnalité
  • Identifier et évaluer les risques aux particuliers
  • Identifier toutes les mesures visant à atténuer ces risques et protéger les données

L'objectif principal de l'évaluation est de protéger les données à haut risque, mais elle vous aide également à démontrer votre engagement en faveur de la sécurité des informations et à instaurer la confiance avec les individus. Le risque de non-conformité est d'une grande importance, mais un risque plus large pour les droits et libertés (y compris un désavantage social ou économique) devrait également être pris en compte dans l'analyse d'impact sur la protection des données. Cela inclut « le potentiel de préjudice – qu'il soit physique, matériel ou immatériel – envers les individus ou la société dans son ensemble ».

Découvrez à quel point c'est simple avec ISMS.online
Réservez votre démo

Quand dois-je réaliser une évaluation d’impact sur la protection des données ?

Comme nous l'avons évoqué plus tôt, l'AIPD doit être réalisée avant que vous traiter des données qui pourraient entraîner un risque élevé. C'est évaluer le niveau de risque et identifier les facteurs qui pourraient avoir un impact sur les individus. Le RGPD stipule que vous devez mener une AIPD si vous :

  • utiliser un profilage systématique et étendu avec des effets significatifs ;
  • traiter à grande échelle des données sur des catégories spéciales ou des infractions pénales ; ou
  • surveiller systématiquement et à grande échelle les lieux accessibles au public.
  • utiliser les nouvelles technologies ;
  • utiliser des données de profilage ou de catégorie spéciale pour décider de l'accès aux services ;
  • profiler des individus à grande échelle ;
  • traiter les données biométriques ;
  • traiter les données génétiques ;
  • faire correspondre des données ou combiner des ensembles de données provenant de différentes sources ;
  • collecter des données personnelles auprès d'une source autre que l'individu sans lui fournir de déclaration de confidentialité (« traitement invisible ») ;
  • suivre l'emplacement ou le comportement des individus ;
  • dresser le profil des enfants ou cibler les services sur eux ; ou
  • traiter des données susceptibles de mettre en danger la santé ou la sécurité physique de la personne en cas de faille de sécurité.

Comment réaliser une évaluation d’impact sur la confidentialité des données

L'ICO a publié un guide de haut niveau sur la planification de votre DPIA, présenté ici dans le graphique, mais vous pouvez adapter le processus à votre organisation. N'oubliez pas que cela doit devenir l'un des processus fondamentaux de votre organisation et qu'il doit donc fonctionner pour vous. Il existe également des lignes directrices européennes pour la planification des AIPD que vous souhaiterez peut-être suivre.

Consultation ouverte sur l'article 35, paragraphe 4 du RGPD

Le Bureau du Commissaire à l'information a ouvert à la consultation publique son projet de lignes directrices pour les évaluations d'impact sur la protection des données. Lisez les détails et donnez votre avis le site de l'OIC.

Découvrez à quel point c'est simple avec ISMS.online

Réservez votre démo

image CTA

ISMS.online prend désormais en charge ISO 42001 – le premier système de gestion de l'IA au monde. Cliquez pour en découvrir davantage