• Vérifiez si vous devez effectuer une évaluation des facteurs relatifs à la vie privée pour votre activité de traitement.
  • Voir ci-dessous : Dans quels cas dois-je effectuer une évaluation des risques liés au projet ?
• Documentez cette vérification (qu’elle ait été positive ou non).

Si une AIPD est nécessaire :

• Commencez le plus tôt possible (en suivant le principe de la protection des données dès la conception).
  • Voir ci-dessous à quel moment l’AIPD doit-elle être réalisée/mise à jour.
• Obtenez une vue d’ensemble de ce qu’est une AIPD. Voir ci-dessous :
  • Qu’est-ce qu’une AIPD ?
  • Quels sont les objectifs d’une AIPD ?
  • Quel est le public visé par un rapport AIPD ?
  • Qui est responsable de la réalisation d’une AIPD
  • Que se passe-t-il si je ne l’exécute pas ?
• Utilisez, dans la mesure du possible, les conseils et les modèles fournis par l’autorité de contrôle de la protection des données (APD) compétente.
• Si ce n’est pas le cas (votre APD ne fournit pas ce type de matériel ou vous devez répondre à de nombreux domaines de compétence de différentes APD), suivez les conseils fournis par le groupe de travail Article 29 dans le document wp248rev.01.
  • Voir les lectures complémentaires ci-dessous.
  • Voir Is there a standardized method for carrying out a DPIA pour un aperçu et une aide à l’interprétation du document WP248rev.01.
• Rassemblez l’équipe nécessaire pour mener l’analyse de l’impact sur la protection des données.
  • Voir Qui doit être impliqué dans l’exécution d’une analyse de l’impact sur la protection des données (AIPD) ci-dessous.
• Réfléchissez aux moyens de faciliter votre travail.
  • Voir ci-dessous Ce qui peut faciliter l’exécution d’une analyse de l’impact sur la protection des données (AIPD).

• Commencez à travailler sur l’AIPD le plus tôt possible.
• Mettez l’accent sur le processus (continu) et documentez-le, et pas seulement sur le résultat (rapport).
• Utilisez l’AIPD comme un outil de décision pour vous-même.
• Impliquez le DPD et toutes les autres parties obligatoires.
• Concentrez-vous sur les mesures techniques et organisationnelles qui réduisent les risques à un niveau acceptable.
• Mettez en œuvre un calendrier pour réviser et mettre à jour l’AIPD lorsque cela est nécessaire.

• Ne confondez pas l’AIPD avec la gestion des risques de sécurité informatique.
• Ne considérez pas les risques pour votre organisation et son patrimoine ; considérez les risques pour les personnes concernées et les autres personnes physiques qui sont affectées par votre traitement.
• Ne comprenez pas le risque comme un événement indésirable (tel qu’une attaque ou une catastrophe naturelle) ; considérez votre traitement comme la source du risque, même si tout se déroule comme prévu.

• Des conseils et des modèles peuvent être fournis par votre autorité de contrôle de la protection des données, qui est le principal destinataire de l’évaluation des risques liés aux données. (Ce qui est exactement disponible dépend de l’endroit où vous vous trouvez).
• WP248rev.01, GROUPE DE TRAVAIL ARTICLE 29 SUR LA PROTECTION DES DONNÉES, Lignes directrices relatives à l’analyse d’impact sur la protection des données (AIPD) et à la détermination du fait que le traitement est “susceptible d’entraîner un risque élevé” aux fins du règlement 2016/679, adoptées le 4 avril 2017, telles que révisées en dernier lieu et adoptées le 4 octobre 2017, https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611236 (dernière visite le 14/01/2020).