Un AIPD n’est pas toujours obligatoire dans le cas du développement de l’IdO (voir la sous-section “Dans quels cas dois-je réaliser un AIPD” dans “Évaluation de l’impact sur la protection des données”, “Principaux outils et actions”, partie II des présentes lignes directrices). Cela dépend si les risques associés au traitement sont élevés ou non, conformément à l’article 35, paragraphe 3, du RGPD. Cependant, elle est fortement recommandée car elle soutient la responsabilisation. Par exemple, l’AIPD est obligatoire si le traitement implique une surveillance systématique d’une zone accessible au public à grande échelle, ou si elle est destinée à évaluer ou à noter les populations vulnérables. En tout état de cause, le WP29 a inclus certains critères fondamentaux dans ses lignes directrices sur l’analyse d’impact sur la protection des données (AIPD) et la détermination du fait que le traitement est “susceptible d’entraîner un risque élevé” aux fins du règlement 2016/679^[1] .

En cas de doute, la consultation de l’autorité de contrôle compétente avant le traitement est vivement recommandée (voir la section “Analyse d’impact sur la protection des données” des “Principaux outils et actions”, partie II des présentes lignes directrices).

La CNIL a créé un excellent outil visant à fournir des conseils sur la façon de réaliser une évaluation des incidences sur la vie privée^[2] , qui comprend des conseils pratiques et bien conçus. Sa consultation est vivement recommandée : https://www.cnil.fr/sites/default/files/atoms/files/cnil-pia-piaf-connectedobjects-en.pdf

Liste de contrôle

Vérifiez si vous devez effectuer une analyse d’impact sur la protection des données pour votre activité de traitement. Documentez cette vérification (qu’elle ait été positive ou non). Si une AIPD est nécessaire : Commencez le plus tôt possible (en suivant le principe de la protection des données dès la conception). Obtenez une vue d’ensemble de ce qu’est une AIPD. Utilisez, dans la mesure du possible, les conseils et les modèles fournis par l’autorité de contrôle de la protection des données (APD) compétente. Si ce n’est pas le cas (votre APD ne fournit pas ce type de matériel ou vous devez répondre à de nombreux domaines de compétence de différentes APD), suivez les conseils fournis par le groupe de travail Article 29 dans le document wp248rev.01. Rassemblez l’équipe nécessaire pour mener l’analyse d’impact sur la protection des données. Réfléchissez aux moyens de faciliter votre travail.

 

1. A29WP, Lignes directrices relatives à l’analyse d’impact sur la protection des données (AIPD) et à la détermination du fait que le traitement est “susceptible d’entraîner un risque élevé” aux fins du règlement 2016/679, adoptées le 4 avril 2017 Telles que révisées et adoptées en dernier lieu le 4 octobre 2017, à l’adresse : https://ec.europa.eu/newsroom/article29/items/611236/en . ↑
2. CNIL, Évaluation de l’impact sur la vie privée. Application aux dispositifs de l’IdO. Février 2019. À : https://www.cnil.fr/sites/default/files/atoms/files/cnil-pia-piaf-connectedobjects-en.pdf ↑