Bud P. Bruegger (ULD)
La version finale de cette section a été validée par Hans Graux, professeur invité en droit des TIC et de la protection de la vie privée à l’Institut de droit, technologie et société de Tilburg (TILT) et à l’AP Hogeschool Antwerpen. Président du Vlaamse Toezichtscommissie (Comité de surveillance flamand), qui supervise le respect de la protection des données au sein des organismes du secteur public flamand.
Dans certains cas, le RGPD exige que les responsables du traitement procèdent à une analyse d’impact sur la protection des données (AIPD). Ce qui suit décrit ce concept en répondant à quelques questions clés:
- Qu’est-ce qu’une AIPD ?
- Quels sont les objectifs d’une AIPD ?
- Quel est le public visé par un rapport AIPD ?
- En quoi une AIPD est-elle différente d’une évaluation de la sécurité ?
- Qui est responsable de la réalisation d’une AIPD ?Qui doit être impliqué dans la réalisation d’une AIPD ?
- Dans quels cas dois-je effectuer un AIPD ? Existe-t-il des listes d’activités de traitement qui nécessitent une analyse de l’impact sur la protection des données ?
- À quel moment l’AIPD doit-elle être réalisée/mise à jour ?
- Existe-t-il une méthode normalisée pour effectuer une analyse de l’impact sur la protection des données ? Existe-t-il des schémas, des modèles ou des outils pour aider à la réalisation d’une AIPD ?
- Qu’est-ce qui peut faciliter la réalisation d’une AIPD ?
- Que se passe-t-il si je ne l’exécute pas ? Quelles sont les conséquences possibles ?
Les réponses sont principalement basées sur le RGPD lui-même et sur les lignes directrices fournies par le groupe de travail Article 29 sur la protection des données (wp248rev.01)[1] qui a été formellement approuvé[2] par le Conseil européen de la protection des données[3] .
Liste de contrôle |
Si une AIPD est nécessaire :
|
À FAIRE |
|
À ne pas faire |
|
Autres lectures
|
- wp248rev.01, GROUPE DE TRAVAIL ARTICLE 29 SUR LA PROTECTION DES DONNÉES, Lignes directrices sur l’analyse d’impact sur la protection des données (AIPD) et la détermination du fait que le traitement est ” susceptible d’entraîner un risque élevé ” aux fins du règlement 2016/679, adoptées le 4 avril 2017, telles que révisées en dernier lieu et adoptées le 4 octobre 2017, https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611236 (dernière visite le 14/01/2020). ↑
- Approbation des lignes directrices du RGPD WP29 par l’EDPB, https://edpb.europa.eu/news/news/2018/endorsement-RGPD-wp29-guidelines-edpb_en, Bruxelles, 25 mai 2018, point 6. ↑
- https://edpb.europa.eu/ ↑