Selon l’Agence espagnole de protection des données, les audits doivent couvrir une large liste d’éléments, à savoir :
- L’existence ou non de données personnelles, de profilage ou de décisions automatiques sur les personnes concernées sans intervention humaine.
- L’efficacité des méthodes d’anonymisation et de pseudonymisation.
- L’existence et la légitimité du traitement de catégories spéciales de données, notamment les informations déduites.
- La base juridique du traitement et l’identification des responsabilités.
- En particulier, lorsque la base juridique est l’intérêt légitime, l’évaluation de l’équilibre entre les différents intérêts et les impacts sur les droits et libertés des personnes concernées à la lumière des garanties adoptées.
- L’information et l’efficacité des mécanismes de transparence mis en œuvre.
- L’application du principe de responsabilité proactive et de gestion des risques pour les droits et libertés des personnes concernées et, en particulier, l’obligation ou la nécessité d’effectuer des AIPD et, le cas échéant, leurs résultats.
- L’application de mesures de protection des données dès la conception et par défaut, telles que :
- l’analyse de la nécessité de la quantité et de l’extension du traitement des données personnelles aux différentes étapes du développement de l’IA ;
- l’analyse de la précision, de la fiabilité, de la qualité et des biais des données utilisées ou saisies pour le développement ou le fonctionnement de la composante IA, ainsi que les méthodes de nettoyage des données utilisées ;
- le suivi et la mise en œuvre de processus de test et de validation concernant la précision, l’exactitude, la convergence, la cohérence, la prévisibilité et toute autre mesure de la qualité des algorithmes utilisés, du profilage et des déductions effectuées. En outre, il faut vérifier que ces paramètres répondent aux exigences du traitement.
- L’adéquation des mesures de sécurité pour éviter les risques pour la vie privée.
- La formation et l’éducation du personnel du responsable du traitement liées au développement ou à la mise en œuvre de la composante IAI, le cas échéant, dans ce dernier cas avec une attention particulière à l’interprétation correcte des déductions.
- La nécessité et, le cas échéant, la capacité du DPD.
- L’incorporation de mécanismes garantissant l’attention aux droits des personnes concernées, en particulier la suppression d’office des données personnelles, avec une attention particulière aux droits des mineurs.
- Le respect des limitations des décisions automatiques sans intervention humaine, l’évaluation, le cas échéant, de la qualité de l’intervention humaine et les mécanismes de contrôle adoptés. En particulier, lorsque la base juridique est le consentement explicite, l’identification des garanties adoptées pour déterminer si le consentement est libre.
- L’application des garanties établies au chapitre V du RGPD dans le cas de transferts internationaux de données.
|
