Comment démontrer la conformité à l'article 35 du RGPD

Évaluation de l'impact de la protection des données

Demander demo

équipe, brainstorming, processus., photo, jeunes, créatifs, gestionnaires, équipe, travaillant, avec

RGPD L'article 35 exige que les organisations effectuent une Évaluation de l'impact sur la protection des données (DPIA) chaque fois que leurs actions en tant que sous-traitant des données sont susceptibles d'avoir un impact sur les droits et libertés des individus, tels qu'accordés par leurs gouvernements nationaux.

Article 35 du RGPD Texte juridique

Version RGPD de l'UE

Analyse d'impact sur la protection des données

  1. Lorsqu'un type de traitement utilisant notamment les nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d'entraîner un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement doit, préalablement à le traitement, procéder à une évaluation de l’impact des traitements envisagés sur la protection des données à caractère personnel. Une seule évaluation peut porter sur un ensemble d’opérations de traitement similaires qui présentent des risques élevés similaires.

  2. Le responsable du traitement demande l’avis du délégué à la protection des données, le cas échéant, lorsqu’il effectue une analyse d’impact sur la protection des données.

  3. Une analyse d'impact sur la protection des données visée au paragraphe 1 est notamment requise dans les cas suivants:

    • (a) une évaluation systématique et approfondie des aspects de la personnalité des personnes physiques, fondée sur un traitement automatisé, y compris le profilage, et sur laquelle sont fondées des décisions produisant des effets juridiques concernant la personne physique ou affectant de manière similaire de manière significative la personne physique.

    • (b) le traitement à grande échelle de catégories particulières de données visées à l'article 9, paragraphe 1, ou de données à caractère personnel relatives aux condamnations pénales et aux infractions visées à l'article 10 ; ou

    • (c) une surveillance systématique à grande échelle d'une zone accessible au public.

  4. Le commissaire établit et rend publique une liste des types de traitements qui sont soumis à l'exigence d'une analyse d'impact en matière de protection des données conformément au paragraphe 1. L'autorité de contrôle communique ces listes au comité visé à l'article 68.

  5. Le commissaire peut également établir et rendre publique une liste des types de traitements pour lesquels aucune analyse d'impact en matière de protection des données n'est requise. L'autorité de contrôle communique ces listes au Conseil.

  6. L'évaluation doit contenir au moins :

    • (a) une description systématique des traitements envisagés et des finalités du traitement, y compris, le cas échéant, l'intérêt légitime poursuivi par le responsable du traitement.

    • (b) une évaluation de la nécessité et de la proportionnalité des opérations de traitement par rapport aux finalités.

    • (c) une évaluation des risques pour les droits et libertés des personnes concernées visés au paragraphe 1 ; et

    • d) les mesures envisagées pour faire face aux risques, y compris les garanties, les mesures de sécurité et les mécanismes destinés à garantir la protection des données à caractère personnel et à démontrer le respect du présent règlement, en tenant compte des droits et des intérêts légitimes des personnes concernées et des autres personnes concernées.

  7. Le respect des codes de conduite approuvés visés à l'article 40 par les responsables du traitement ou sous-traitants concernés est dûment pris en compte lors de l'évaluation de l'impact des opérations de traitement effectuées par ces responsables du traitement ou sous-traitants, notamment aux fins d'une analyse d'impact sur la protection des données.

  8. Le cas échéant, le responsable du traitement sollicite l'avis des personnes concernées ou de leurs représentants sur le traitement envisagé, sans préjudice de la protection des intérêts commerciaux ou publics ou de la sécurité des traitements.

  9. Dans le cas d'un traitement en vertu de l'article 6, paragraphe 1, point c) ou e), les paragraphes 1 à 7 du présent article ne s'appliquent pas si une analyse d'impact relative à la protection des données a déjà été réalisée pour le traitement dans le cadre d'un l’analyse d’impact générale requise par le droit national, sauf disposition contraire du droit national.

  10. Si nécessaire, le responsable du traitement procède à un examen pour évaluer si le traitement est effectué conformément à l'analyse d'impact sur la protection des données, au moins en cas de modification du risque représenté par les opérations de traitement.

Version du RGPD au Royaume-Uni

Le RGPD britannique est en grande partie similaire à l’extrait du RGPD de l’UE, sans différences notables.

Aller au sujet

Commentaire technique

Lorsqu’elles envisagent la planification et la mise en œuvre d’une AIPD, les organisations doivent prendre en compte 11 domaines clés :

  1. Que ce soit obligatoire Une DPIA doit être réalisée.

  2. L’intervention d’un délégué à la protection des données.

  3. La probabilité d’un risque important pour les droits et libertés d’un individu.

  4. Spécifications DPA.

  5. Mécanismes de cohérence.

  6. Les exigences minimales de toute AIPD à réaliser.

  7. Tout code de conduite pertinent.

  8. Toute exemption nationale en vigueur.

  9. Un examen du traitement, une fois la DPIA réalisée.

Clause 27701 de la norme ISO 5.2.2 (Comprendre les besoins et les attentes des parties intéressées) et article 35 (9) du RGPD de l'UE

Les informations personnelles et la protection de la vie privée peuvent potentiellement avoir un impact sur un grand nombre d'employés, d'utilisateurs et de clients, tant en interne qu'en externe.

Les organisations doivent acquérir une solide compréhension des besoins de tout personnel concerné et de ce que l'ISO considère comme des « parties intéressées ».

Besoin de l'organisation d'établir et de documenter :

  • toute « partie intéressée » pertinente pour le sujet plus large de la protection de la vie privée.

  • quelles sont les exigences uniques de ces personnes dans le cadre d'un PIMS.

Les organisations doivent également prendre en compte toutes les obligations légales, réglementaires ou contractuelles, ainsi que les exigences pratiques et opérationnelles.

Lors de la mise en œuvre d'un PIMS, les organisations doivent dresser une liste des parties intéressées qui sont soit affectées par un PIMS, soit qui ont un rôle à jouer dans le traitement des informations personnelles.

En ce qui concerne les informations personnelles, une partie intéressée peut être l'une des personnes suivantes (mais sans s'y limiter) :

  • Un employé.

  • Un client.

  • Autorités réglementaires, judiciaires ou de contrôle.

  • Autres contrôleurs et processeurs PII.

Il est important de noter que les exigences PII – liées à un PIMS – émanent souvent d'un large éventail de sources, notamment :

  • Processus et objectifs internes.

  • Organismes gouvernementaux et/ou réglementaires.

  • Obligations contractuelles avec des organismes tiers.

Il peut souvent être difficile pour les organismes de gouvernance et de réglementation de confirmer le respect des normes publiées en matière de protection de la vie privée par une organisation, dans son rôle de processeur et de contrôleur de données PII.

En tant que telles, les organisations doivent s'attendre à ce que ces organismes demandent des examens indépendants de tout système de gestion pertinent, afin de satisfaire leurs propres exigences d'audit.

ISO 27701, clause 7.2.5 (évaluation de l'impact sur la vie privée) et article 35 du RGPD de l'UE

Dans cette section, nous parlons des articles 35 (1), 35 (10), 35 (11), 35 (2), 35 (3)(a), 35 (3)(b), 35 (3)(c) du RGPD. ), 35 (4), 35 (5), 35 (7)(a), 35 (7)(b), 35 (7)(c), 35 (7)(d), 35 (8) et 35 (9)

Les évaluations d'impact sur la confidentialité permettent aux organisations d'évaluer les implications en matière de sécurité des informations lors du traitement d'un nouvel ensemble de données personnelles ou de la modification de la manière dont les données existantes sont traitées.

Le traitement des informations personnelles est une fonction commerciale à haut risque qui doit être soigneusement évaluée pour garantir l'intégrité, l'authenticité et la légalité des données traitées.

Selon la juridiction, certaines organisations devront se conformer à une liste catégorique de scénarios dans lesquels une évaluation des facteurs relatifs à la vie privée est requise, tels que :

  1. Prise de décision automatisée.

  2. Traitement au niveau de l'entreprise des catégories PII spéciales.

  3. Surveillance de grands espaces publics.

Les organisations doivent établir ce qui constitue une évaluation d’impact adéquate, comprenant (mais sans s’y limiter) :

  • Quel type de données personnelles est stocké.

  • Où il est stocké.

  • Où il peut être déplacé.

Découvrez notre plateforme

Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo

Nous sommes économiques et rapides

Découvrez comment cela augmentera votre retour sur investissement
Obtenez votre devis

Clause 27701 de la norme ISO 8.2.1 (Contrat client) et article 35 (1) du RGPD de l'UE

Les contrats doivent inclure :

  • Le concept de « confidentialité dès la conception » (voir ISO 27701, articles 7.4 et 8.4).

  • Comment l'organisation entend assurer la sécurité du traitement.

  • Comment les violations doivent être signalées, y compris les clients, les donneurs d'ordre et les autorités réglementaires.

  • Comment les évaluations des facteurs relatifs à la vie privée doivent être traitées.

  • Confirmation de l'intention de l'organisation de fournir une assistance aux autorités de protection des informations personnelles.

Prise en charge des clauses ISO 27701

  • ISO 27701 7.4
  • ISO 27701 8.4

Index des articles liés au RGPD de l'UE et aux clauses ISO 27701

Article RGPDArticle ISO 27701Clauses complémentaires ISO 27701
Article 35 (9) du RGPD de l’UEISO 27701 5.2.2Aucun
RGPD de l'UE, articles 35 (1) à 35 (9)ISO 27701 7.2.5Aucun
Article 35 (1) du RGPD de l’UEISO 27701 8.2.1ISO 27701 7.4
ISO 27701 8.4

Comment l'aide d'ISMS.online

Une violation du RGPD peut entraîner des amendes importantes, ce qui en fait l'une des réglementations en matière de confidentialité et de sécurité les plus strictes au monde. Par conséquent, les organisations doivent protéger les données personnelles dans une mesure « raisonnable ».

Mais voici la bonne nouvelle.

En utilisant ISMS.online, vous pouvez passer directement à la conformité au RGPD et démontrer un niveau de protection qui va au-delà du « raisonnable ». Nous facilitons le mappage des données. Enregistrez et examinez facilement l'activité de traitement de votre organisation en ajoutant vos coordonnées à notre outil dynamique préconfiguré d'enregistrement des activités de traitement.

Grâce à nos outils, vous pouvez planifier, communiquer, documenter et tirer des leçons de chaque violation.

En savoir plus par réserver une démo.

ISMS.online est un
solution unique qui a radicalement accéléré notre mise en œuvre.

Evan Harris
Fondateur et directeur d'exploitation, Énergique

Réservez votre démo

Simple. Sécurisé. Durable.

Découvrez notre plateforme en action avec une session pratique personnalisée en fonction de vos besoins et de vos objectifs.

Réservez votre démo
img

ISMS.online prend désormais en charge ISO 42001 – le premier système de gestion de l'IA au monde. Cliquez pour en découvrir davantage